Cisco ASA T~Z Cisco Systems, Inc.

advertisement
Cisco ASA 시리즈 명령 참조, ASASM에 대한
T~Z 명령 및 IOS 명령
업데이트 날짜: 2014년 11월 11일
Cisco Systems, Inc.
www.cisco.com
Cisco는 전 세계에 200개가 넘는 지사를 운영하고 있습니다.
주소, 전화 번호 및 팩스 번호는 Cisco 웹사이트
www.cisco.com/go/offices 에서 확인하십시오.
텍스트 파트 번호: 해당 사항 없음, 온라인 전용
이 설명서의 제품 사양 및 정보는 예고 없이 변경될 수 있습니다. 이 설명서의 모든 설명, 정보 및 권장 사항은 정확한 것으로 간주되지만 이에 대해 명시적이든 묵
시적이든 어떠한 보증도 없이 제공됩니다. 모든 제품의 애플리케이션 사용에 대한 책임은 전적으로 사용자에게 있습니다.
동봉된 제품의 소프트웨어 라이센스 및 제한 보증은 제품과 함께 제공되는 정보 패킷에 설명되어 있으며 본 참조 문서에 통합되어 있습니다. 소프트웨어 라이센스
또는 제한 보증을 찾을 수 없는 경우 CISCO 담당자에게 사본을 요청하십시오.
Cisco의 TCP 헤더 압축은 UNIX 운영 체제의 UCB 공개 도메인 버전의 일부로서 University of California, Berkeley(UCB)에서 개발된 프로그램을 적용하여 구현합니
다. All rights reserved. Copyright © 1981, Regents of the University of California.
여기에 언급된 기타 모든 보증에도 불구하고 이러한 공급자의 모든 문서 및 소프트웨어는 모든 결함이 포함된 "있는 그대로" 제공됩니다. CISCO 및 위에 언급된 모
든 공급업체는 상품성, 특정 목적에의 적합성, 타인의 권리 비침해 또는 처리, 사용, 거래 행위로 발생하는 문제에 대한 묵시적 보증을 포함하여(단, 이에 한하지 않
음) 묵시적이든 명시적이든 모든 종류의 보증을 부인합니다.
Cisco 또는 해당 공급업체는 피해의 가능성에 대해 언급한 경우라도 이 설명서의 사용 또는 사용 불능으로 인해 발생하는 이익 손실, 데이터 손실 또는 손상을 포함
하여(단, 이에 한하지 않음) 간접, 특별, 중대 또는 부수적 손해에 대해 어떠한 경우라도 책임을 지지 않습니다.
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this
URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership
relationship between Cisco and any other company. (1110R)
Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display
output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in
illustrative content is unintentional and coincidental.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
© 2014 Cisco Systems, Inc. All rights reserved.
파트 1
T~Z 명령
1
장
table-map through title 명령
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-1
1장
table-map through title 명령
table-map
table-map
IP 라우팅 테이블이 BGP에서 학습한 경로로 업데이트될 때 메트릭 및 태그 값을 수정하려면 주소
패밀리 컨피그레이션 모드에서 table-map 명령을 사용합니다. 이 기능을 비활성화하려면 이 명령
의 no 형식을 사용합니다.
table-map map_name
no table-map map_name
구문 설명
map_name
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
route-map 명령에서 맵 이름을 라우팅합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
주소 패밀리 컨피그레이션
명령 기록
사용 지침
릴리스
9.2(1)
•
예
투명
—
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 route-map 명령으로 정의된 경로 맵 이름을 IP 라우팅 테이블에 추가합니다. 이 명령은
재배포를 구현하기 위해 태그 이름 및 경로 메트릭을 설정하는 데 사용됩니다.
경로 맵의 match 절을 table-map 명령에서 사용할 수 있습니다. IP 액세스 목록, 자동 시스템 경로
및 다음 홉 일치 절이 지원됩니다.
예
다음 주소 패밀리 컨피그레이션 모드 예에서는 ASA 소프트웨어가 BGP에서 학습한 경로에 대한
태그 값을 자동으로 계산하고 IP 라우팅 테이블을 업데이트하도록 구성됩니다.
ciscoasa(config)# route-map tag
ciscoasa(config-route-map)# match as path 10
ciscoasa(config-route-map)# set automatic-tag
ciscoasa(config)# router bg 100
ciscoasa(config-routerp)# address-family ipv4 unicast
ciscoasa(config-router-af)# table-map tag
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-2
1장
table-map through title 명령
table-map
관련 명령
명령
address-family
설명
address-family 컨피그레이션 모드를 시작합니다.
route-map
라우팅 프로토콜 간에 경로를 재배포하는 조건을 정의합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-3
1장
table-map through title 명령
tcp-map
tcp-map
TCP 정규화 작업 집합을 정의하려면 전역 컨피그레이션 모드에서 tcp-map 명령을 사용합니다.
TCP 정규화 기능을 사용하면 감지된 경우 ASA에서 삭제하는 비정상 패킷을 식별하는 조건을 지
정할 수 있습니다. TCP 맵을 제거하려면 이 명령의 no 형식을 사용합니다.
tcp-map map_name
no tcp-map map_name
구문 설명
map_name
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
TCP 맵 이름을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.0(1)
7.2(4)/8.0(4)
사용 지침
라우팅됨
•
예
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
invalid-ack, seq-past-window 및 synack-data 하위 명령이 추가되었습
니다.
이 기능은 Modular Policy Framework를 사용합니다. 먼저 tcp-map 명령을 사용하여 수행할 TCP 정
규화 작업을 정의합니다. tcp map 명령은 TCP 정규화 작업을 정의하는 하나 이상의 명령을 입력할
수 있는 tcp-map 컨피그레이션 모드를 시작합니다. 그런 다음 class-map 명령을 사용하여 TCP 맵
을 적용할 트래픽을 정의합니다. 그런 다음 policy-map 명령을 입력하여 정책을 정의하고, class 명
령을 입력하여 클래스 맵을 참조합니다. 클래스 컨피그레이션 모드에서는 set connection
advanced-options 명령을 입력하여 TCP 맵을 참조합니다. 마지막으로 service-policy 명령을 사용
하여 정책 맵을 인터페이스에 적용합니다. Modular Policy Framework의 작동 방식에 대한 자세한
내용은 CLI 컨피그레이션 가이드를 참고하십시오.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-4
투명
1장
table-map through title 명령
tcp-map
tcp-map 컨피그레이션 모드에서 사용할 수 있는 명령은 다음과 같습니다.
예
check-retransmission
재전송 데이터 검사를 활성화 및 비활성화합니다.
checksum-verification
체크섬 확인을 활성화 및 비활성화합니다.
exceed-mss
피어에서 설정한 MSS를 초과하는 패킷을 허용하거나 삭제합니다.
invalid-ack
잘못된 ACK가 있는 패킷에 대한 동작을 설정합니다.
queue-limit
TCP 연결을 대기할 수 있는 비순차적 패킷의 최대 개수를 구성합니다.
이 명령은 ASA 5500 시리즈 적응형 ASA에서만 사용할 수 있습니다.
PIX 500 시리즈 ASA에서는 대기열 제한이 3이며, 변경할 수 없습니다.
reserved-bits
ASA에서 예약된 플래그 정책을 설정합니다.
seq-past-window
past-window 시퀀스 번호가 있는 패킷, 즉 받은 TCP 패킷의 시퀀스 번호
가 TCP 수신 윈도우의 오른쪽 경계를 초과하는 패킷에 대한 동작을 설
정합니다.
synack-data
데이터가 포함된 TCP SYNACK 패킷에 대한 동작을 설정합니다.
syn-data
데이터가 포함된 SYN 패킷을 허용하거나 삭제합니다.
tcp-options
selective-ack, timestamps 또는 window-scale TCP 옵션을 허용하거나 지
웁니다.
ttl-evasion-protection
ASA에서 제공하는 TTL 회피 방지를 활성화하거나 비활성화합니다.
urgent-flag
ASA를 통해 URG 포인터를 허용하거나 지웁니다.
window-variation
해당 윈도우 크기를 예상치 않게 변경하는 연결을 삭제합니다.
예를 들어 잘 알려진 FTP 데이터 포트와 텔넷 포트 간의 TCP 포트 범위로 전송된 모든 트래픽에 대
해 긴급 플래그 및 긴급 오프셋 패킷을 허용하려면 다음 명령을 입력합니다.
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# urgent-flag allow
ciscoasa(config-tcp-map)# class-map urg-class
ciscoasa(config-cmap)# match port tcp range ftp-data telnet
ciscoasa(config-cmap)# policy-map pmap
ciscoasa(config-pmap)# class urg-class
ciscoasa(config-pmap-c)# set connection advanced-options tmap
ciscoasa(config-pmap-c)# service-policy pmap global
관련 명령
명령
class (policy-map)
설명
트래픽 분류에 사용할 클래스 맵을 지정합니다.
clear configure
tcp-map
TCP 맵 컨피그레이션을 지웁니다.
policy-map
정책, 즉 트래픽 클래스와 하나 이상의 작업 연계를 구성합니다.
show running-config
tcp-map
TCP 맵 컨피그레이션에 대한 정보를 표시합니다.
tcp-options
selective-ack, timestamps 또는 window-scale TCP 옵션을 허용하거나 지
웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-5
table-map through title 명령
1장
tcp-options
tcp-options
ASA를 통해 TCP 옵션을 허용하거나 제거하려면 tcp-map 컨피그레이션 모드에서 tcp-options 명령
을 사용합니다. 이 사양을 제거하려면 이 명령의 no 형식을 사용합니다.
tcp-options {selective-ack | timestamp | window-scale} {allow | clear}
no tcp-options {selective-ack | timestamp | window-scale} {allow | clear}
tcp-options range lower upper {allow | clear | drop}
no tcp-options range lower upper {allow | clear | drop}
구문 설명
allow
TCP 노멀라이저를 통해 TCP 옵션을 허용합니다.
clear
TCP 노멀라이저를 통해 TCP 옵션을 지우고 패킷을 허용합니다.
drop
패킷을 삭제합니다.
lower
하한 범위 (6-7) 및 (9-255)입니다.
selective-ack
SACK(Selective Acknowledgement Mechanism) 옵션을 설정합니다. 기
본값은 SACK 옵션을 허용하는 것입니다.
timestamp
timestamp 옵션을 설정합니다. timestamp 옵션을 지우면 PAWS 및 RTT
가 비활성화됩니다. 기본값은 timestamp 옵션을 허용하는 것입니다.
upper
상한 범위 (6-7) 및 (9-255)입니다.
window-scale
창 배율 메커니즘 옵션을 설정합니다. 기본값은 창 배율 메커니즘 옵션
을 허용하는 것입니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
tcp-map 컨피그레이션
명령 기록
릴리스
7.0(1)
라우팅됨
•
예
•
예
수정 사항
이 명령이 도입되었습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-6
투명
단일
•
예
상황
•
예
시스템
—
1장
table-map through title 명령
tcp-options
사용 지침
tcp map 명령은 MPF(Modular Policy Framework) 인프라와 함께 사용됩니다. class-map 명령을 사
용하여 트래픽의 클래스를 정의하고, tcp-map 명령을 사용하여 TCP 검사를 사용자 지정합니다. 새
TCP 맵은 policy-map 명령을 사용하여 적용합니다. TCP 검사는 service-policy 명령을 사용하여 활
성화합니다.
tcp-map 명령을 사용하여 tcp-map 컨피그레이션 모드를 시작할 수 있습니다. tcp-map 컨피그레이
션 모드에서 tcp-options 명령을 사용하여 selective-acknowledgement, window-scale 및 timestamp
TCP 옵션을 지울 수 있습니다. 또한 잘 정의되지 않은 옵션이 있는 패킷을 지우거나 삭제할 수 있
습니다.
예
다음 예에서는 6-7 및 9-255 범위의 TCP 옵션이 있는 모든 패킷을 삭제하는 방법을 보여 줍니다.
ciscoasa(config)# access-list TCP extended permit tcp any any
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# tcp-options range 6 7 drop
ciscoasa(config-tcp-map)# tcp-options range 9 255 drop
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match access-list TCP
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
관련 명령
명령
class
설명
트래픽 분류에 사용할 클래스 맵을 지정합니다.
policy-map
정책, 즉 트래픽 클래스와 하나 이상의 작업 연계를 구성합니다.
set connection
연결 값을 구성합니다.
tcp-map
TCP 맵을 만들고 tcp-map 컨피그레이션 모드에 대한 액세스를 허용합
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-7
1장
table-map through title 명령
telnet
telnet
텔넷을 통해 인터페이스에 액세스할 수 있도록 허용하려면 전역 컨피그레이션 모드에서 telnet 명
령을 사용합니다. 텔넷 액세스를 제거하려면 이 명령의 no 형식을 사용합니다.
telnet {ipv4_address mask | ipv6_address/prefix} interface_name
no telnet {ipv4_address mask | ipv6_address/prefix} interface_name
구문 설명
interface_name
텔넷을 허용할 인터페이스의 이름을 지정합니다. VPN 터널에서 텔넷을 사
용하지 않는 한 보안 수준이 가장 낮은 인터페이스에서는 텔넷을 활성화할
수 없습니다.
ipv4_address mask
ASA로 텔넷할 권한이 있는 호스트 또는 네트워크의 IPv4 주소 및 서브넷 마
스크를 지정합니다.
ipv6_address/prefix
ASA로 텔넷할 권한이 있는 IPv6 주소/접두사를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.0(1)
9.0(2), 9.1(2)
사용 지침
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
기본 비밀번호인 "cisco"가 제거되었습니다. password 명령을 사용하여
로그인 비밀번호를 직접 설정해야 합니다.
telnet 명령을 사용하면 텔넷을 통해 ASA CLI에 액세스할 수 있는 호스트를 지정할 수 있습니다.
모든 인터페이스에서 ASA로의 텔넷을 활성화할 수 있습니다. 그러나 VPN 터널 내에서 텔넷을 사
용하지 않는 한 보안 수준이 가장 낮은 인터페이스에는 텔넷을 사용할 수 없습니다.
password 명령을 사용하여 텔넷을 통해 콘솔에 액세스하기 위한 비밀번호를 설정할 수 있습니다.
who 명령을 사용하여 현재 ASA 콘솔에 액세스 중인 IP 주소를 볼 수 있습니다. kill 명령을 사용하
여 활성 텔넷 콘솔 세션을 종료할 수 있습니다.
aaa authentication telnet console 명령을 사용하는 경우 텔넷 콘솔에서 인증 서버에 인증해야
합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-8
1장
table-map through title 명령
telnet
예
다음 예에서는 호스트 192.168.1.3 및 192.168.1.4에서 텔넷을 통해 ASA CLI에 액세스하도록 허용
하는 방법을 보여 줍니다. 또한 192.168.2.0 네트워크의 모든 호스트에 액세스 권한이 부여됩니다.
ciscoasa(config)# telnet 192.168.1.3 255.255.255.255 inside
ciscoasa(config)# telnet 192.168.1.4 255.255.255.255 inside
ciscoasa(config)# telnet 192.168.2.0 255.255.255.0 inside
ciscoasa(config)# show running-config telnet
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
다음 예에서는 텔넷 콘솔 로그인 세션을 보여 줍니다(비밀번호는 입력 시 표시되지 않음).
ciscoasa# passwd: cisco
Welcome to the XXX
…
Type help or ‘?’ for a list of available commands.
ciscoasa>
no telnet 명령을 사용하여 개별 항목을 제거하거나, clear configure telnet 명령을 사용하여 모든 텔
넷 명령문을 제거할 수 있습니다.
ciscoasa(config)# no telnet 192.168.1.3 255.255.255.255 inside
ciscoasa(config)# show running-config telnet
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
ciscoasa(config)# clear configure telnet
관련 명령
명령
설명
clear configure telnet 컨피그레이션에서 텔넷 연결을 제거합니다.
kill
Telnet 세션을 종료합니다.
show running-config
telnet
텔넷을 사용하여 ASA에 연결할 수 있는 현재 IP 주소 목록을 표시합니다.
telnet timeout
텔넷 시간 제한을 설정합니다.
who
ASA의 활성 텔넷 관리 세션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-9
table-map through title 명령
1장
telnet timeout
telnet timeout
텔넷 유휴 시간 제한을 설정하려면 전역 컨피그레이션 모드에서 telnet timeout 명령을 사용합니다.
기본 시간 제한을 복원하려면 이 명령의 no 형식을 사용합니다.
telnet timeout minutes
no telnet timeout minutes
구문 설명
minutes
기본값
기본적으로 텔넷 세션은 5분 동안 유휴 상태로 유지된 후 ASA에 의해 닫힙니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
ASA에서 닫기 전에 텔넷 세션이 유휴 상태로 있을 수 있는 기간(분)입니다. 유
효한 값은 1~1440분입니다. 기본값은 5분입니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
상황
예
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
telnet timeout 명령을 사용하여 ASA에서 로그오프하기 전에 콘솔 텔넷 세션을 유휴 상태로 유지
할 수 있는 최대 시간을 설정할 수 있습니다.
예
다음 예에서는 최대 세션 유휴 기간을 변경하는 방법을 보여 줍니다.
ciscoasa(config)# telnet timeout 10
ciscoasa(config)# show running-config telnet timeout
telnet timeout 10 minutes
관련 명령
명령
clear configure telnet
kill
show running-config
telnet
telnet
who
설명
컨피그레이션에서 텔넷 연결을 제거합니다.
Telnet 세션을 종료합니다.
텔넷을 사용하여 ASA에 연결할 수 있는 현재 IP 주소 목록을 표시합니다.
텔넷을 통해 ASA에 액세스할 수 있도록 합니다.
ASA의 활성 텔넷 관리 세션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-10
1장
table-map through title 명령
terminal
terminal
시스템 로그 메시지가 현재 텔넷 세션에 표시되도록 허용하려면 특권 EXEC 모드에서 terminal
monitor 명령을 사용합니다. 시스템 로그 메시지를 비활성화하려면 이 명령의 no 형식을 사용
합니다.
terminal {monitor | no monitor}
구문 설명
monitor
현재 텔넷 세션에서 시스템 로그 메시지 표시를 활성화합니다.
no monitor
현재 텔넷 세션에서 시스템 로그 메시지 표시를 비활성화합니다.
기본값
시스템 로그 메시지는 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
예
릴리스
7.0(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 현재 세션에서 시스템 로그 메시지를 표시 및 비활성화하는 방법을 보여 줍니다.
ciscoasa# terminal monitor
ciscoasa# terminal no monitor
관련 명령
명령
clear configure terminal
pager
설명
터미널 표시 너비 설정을 지웁니다.
“---more---” 프롬프트가 표시되기 전에 텔넷 세션에 표시할 줄 수
를 설정합니다. 이 명령은 컨피그레이션에 저장됩니다.
show running-config terminal 현재 터미널 설정을 표시합니다.
terminal pager
“---more---” 프롬프트가 표시되기 전에 텔넷 세션에 표시할 줄 수
를 설정합니다. 이 명령은 컨피그레이션에 저장되지 않습니다.
terminal width
전역 컨피그레이션 모드에서 터미널 표시 너비를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-11
1장
table-map through title 명령
terminal pager
terminal pager
텔넷 세션에 대해 “---More---” 프롬프트가 표시되기 전까지의 페이지의 줄 수를 설정하려면 특권
EXEC 모드에서 terminal pager 명령을 사용합니다.
terminal pager [lines] lines
구문 설명
[lines] lines
기본값
기본값은 24줄입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
“---More---” 프롬프트가 표시되기 전까지의 페이지의 줄 수를 설정합니다. 기본값
은 24줄입니다. 0은 페이지 제한이 없음을 의미합니다. 범위는 0~2147483647줄입
니다. lines 키워드는 선택 사항이며, 이 명령은 이 키워드의 사용 여부에 상관없이
동일합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
사용 지침
릴리스
7.0(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
이 명령은 현재 텔넷 세션에서만 페이저 줄 설정을 변경합니다. 새 기본 페이저 설정을 컨피그레이
션에 저장하려면 다음을 수행합니다.
1.
login 명령을 입력하여 사용자 EXEC 모드에 액세스하거나, enable 명령을 입력하여 특권
EXEC 모드에 액세스합니다.
2.
pager 명령을 입력합니다.
텔넷을 사용하여 관리 상황에 액세스한 경우 다른 상황으로 변경하면 페이저 줄 설정이 사용자 세
션을 따릅니다. 이는 지정된 상황의 pager 명령에 다른 설정이 있는 경우에도 마찬가지입니다. 현
재 페이저 설정을 변경하려면 새 설정으로 terminal pager 명령을 입력하거나 현재 상황에서 pager
명령을 입력합니다. 새 페이저 설정을 상황 컨피그레이션에 저장하는 것 외에 pager 명령은 새 설
정을 현재 텔넷 세션에 적용합니다.
예
다음 예에서는 표시되는 줄 수를 20으로 변경합니다.
ciscoasa# terminal pager 20
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-12
1장
table-map through title 명령
terminal pager
관련 명령
명령
clear configure terminal
설명
터미널 표시 너비 설정을 지웁니다.
pager
“---More---” 프롬프트가 표시되기 전에 텔넷 세션에 표시할 줄
수를 설정합니다. 이 명령은 컨피그레이션에 저장됩니다.
show running-config terminal
현재 터미널 설정을 표시합니다.
terminal
시스템 로그 메시지가 텔넷 세션에 표시되도록 허용합니다.
terminal width
전역 컨피그레이션 모드에서 터미널 표시 너비를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-13
1장
table-map through title 명령
terminal width
terminal width
콘솔 세션 중에 정보를 표시할 너비를 설정하려면 전역 컨피그레이션 모드에서 terminal width 명
령을 사용합니다. 비활성화하려면 이 명령의 no 형식을 사용합니다.
terminal width columns
no terminal width columns
구문 설명
columns
기본값
기본 표시 너비는 80열입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
터미널 너비(열 수)를 지정합니다. 기본값은 80입니다. 범위는 40~511입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
예
릴리스
7.0(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 터미널 표시 너비를 100열로 설정하는 방법을 보여 줍니다.
ciscoasa# terminal width 100
관련 명령
명령
clear configure terminal
설명
터미널 표시 너비 설정을 지웁니다.
show running-config terminal
현재 터미널 설정을 표시합니다.
terminal
특권 EXEC 모드에서 터미널 줄 매개변수를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-14
1장
table-map through title 명령
test aaa-server
test aaa-server
ASA에서 특정 AAA 서버에 사용자를 인증하거나 권한을 부여할 수 있는지 확인하려면 특권 EXEC
모드에서 test aaa-server 명령을 사용합니다. AAA 서버에 연결하지 못한 경우 이는 ASA의 컨피그
레이션이 잘못되었거나, 네트워크 컨피그레이션 제한 또는 서버 다운타임과 같은 다른 이유로
AAA 서버에 연결할 수 없기 때문일 수 있습니다.
test aaa-server {authentication server_tag [host ip_address] [username username] [password
password] | authorization server_tag [host ip_address] [username username][ad-agent]}
구문 설명
ad-agent
AAA AD 에이전트 서버에 대한 연결을 테스트합니다.
authentication
AAA 서버의 인증 기능을 테스트합니다.
authorization
AAA 서버의 레거시 VPN 권한 부여 기능을 테스트합니다.
host ip_address
서버 IP 주소를 지정합니다. 명령에서 IP 주소를 지정하지 않으면 IP 주
소를 묻는 프롬프트가 표시됩니다.
password password
사용자 비밀번호를 지정합니다. 명령에서 비밀번호를 지정하지 않으
면 비밀번호를 묻는 프롬프트가 표시됩니다.
server_tag
aaa-server 명령에서 설정된 대로 AAA 서버 태그를 지정합니다.
username username
AAA 서버 설정을 테스트하는 데 사용된 계정의 사용자 이름을 지정합
니다. 사용자 이름이 AAA 서버에 존재해야 합니다. 그렇지 않으면 테
스트에 실패합니다. 명령에서 사용자 이름을 지정하지 않으면 사용자
이름을 묻는 프롬프트가 표시됩니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
사용 지침
•
예
투명
•
예
릴리스
7.0(4)
이 명령이 도입되었습니다.
8.4(2)
ad-agent 키워드가 추가되었습니다.
단일
•
예
상황
•
예
시스템
—
수정 사항
test aaa-server 명령을 사용하여 ASA가 특정 AAA 서버에 사용자를 인증할 수 있는지 확인하고, 사
용자에게 권한을 부여할 수 있는 경우 레거시 VPN 권한 부여를 확인할 수 있습니다. 이 명령을 사용
하면 인증 또는 권한 부여를 시도하는 실제 사용자 없이도 AAA 서버를 테스트할 수 있습니다. 또한
AAA 실패 원인을 AAA 서버 매개변수의 잘못된 구성, AAA 서버의 연결 문제 또는 ASA의 기타 컨
피그레이션 오류로 분리할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-15
1장
table-map through title 명령
test aaa-server
예
다음 예에서는 호스트 192.168.3.4에서 srvgrp1이라는 RADIUS AAA 서버를 구성하고, 시간 제한
을 9초로 설정하고, 재시도 간격을 7초로 설정하고, 인증 포트를 1650으로 구성합니다. AAA 서버
매개변수 설정 뒤의 test aaa-server 명령은 인증 테스트 시 서버에 연결하지 못했음을 나타냅니다.
ciscoasa(config)# aaa-server svrgrp1 protocol radius
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
ciscoasa(config-aaa-server-host)# timeout 9
ciscoasa(config-aaa-server-host)# retry-interval 7
ciscoasa(config-aaa-server-host)# authentication-port 1650
ciscoasa(config-aaa-server-host)# exit
ciscoasa(config)# test aaa-server authentication svrgrp1
Server IP Address or name: 192.168.3.4
Username: bogus
Password: mypassword
INFO: Attempting Authentication test to IP address <192.168.3.4> (timeout: 10 seconds)
ERROR: Authentication Rejected: Unspecified
다음은 성공한 test aaa-server 명령의 샘플 출력입니다.
ciscoasa# test aaa-server authentication svrgrp1 host 192.168.3.4 username bogus password
mypassword
INFO: Attempting Authentication test to IP address <10.77.152.85> (timeout: 12 seconds)
INFO: Authentication Successful
관련 명령
명령
aaa authentication console
설명
관리 트래픽에 대한 인증을 구성합니다.
aaa authentication match
통과 트래픽에 대한 인증을 구성합니다.
aaa-server
AAA 서버 그룹을 생성합니다.
aaa-server host
서버 그룹에 AAA 서버를 추가합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-16
1장
table-map through title 명령
test aaa-server ad-agent
test aaa-server ad-agent
Active Directory 에이전트 컨피그레이션을 구성한 후 테스트하려면 AAA 서버 그룹 컨피그레이션
모드에서 test aaa-server ad-agent 명령을 사용합니다.
test aaa-server ad-agent
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
aaa 서버 그룹 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
ID 방화벽에 대해 Active Directory 에이전트를 구성하려면 aaa-server 명령의 하위 모드인
ad-agent-mode 명령을 입력해야 합니다. ad-agent-mode 명령을 입력하면 AAA 서버 그룹 컨피그
레이션 모드가 시작됩니다.
Active Directory 에이전트를 구성한 후 test aaa-server ad-agent 명령을 입력하여 ASA가 Active
Directory 에이전트에 연결되어 있는지 확인합니다.
AD 에이전트는 주기적으로 또는 온디맨드로 WMI를 통해 Active Directory 서버 보안 이벤트 로그
파일을 모니터링하여 사용자 로그인 및 로그오프 이벤트를 확인합니다. AD 에이전트는 사용자 ID
및 IP 주소 매핑에 대한 캐시를 유지 관리하고 변경 사항을 ASA에 알려 줍니다.
AD 에이전트 서버 그룹에 대한 기본 및 보조 AD 에이전트를 구성합니다. ASA에서 기본 AD 에이
전트가 응답하지 않는 것을 감지한 경우 보조 에이전트가 지정되어 있으면 ASA는 보조 AD 에이
전트로 전환합니다. AD 에이전트의 Active Directory 서버는 RADIUS를 통신 프로토콜로 사용합니
다. 따라서 ASA와 AD 에이전트 간의 공유 암호에 대한 키 특성을 지정해야 합니다.
예
다음 예에서는 ID 방화벽에 대해 Active Directory 에이전트를 구성하는 동안 ad-agent-mode를 활
성화한 다음 연결을 테스트하는 방법을 보여 줍니다.
hostname(config)# aaa-server adagent protocol radius
hostname(config)# ad-agent-mode
hostname(config-aaa-server-group)# aaa-server adagent (inside) host 192.168.1.101
hostname(config-aaa-server-host)# key mysecret
hostname(config-aaa-server-hostkey)# user-identity ad-agent aaa-server adagent
hostname(config-aaa-server-host)# test aaa-server ad-agent
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-17
1장
table-map through title 명령
test aaa-server ad-agent
관련 명령
명령
aaa-server
clear configure
user-identity
설명
AAA 서버 그룹을 만들고 그룹별 및 모든 그룹 호스트에 공통적인
AAA 서버 매개변수를 구성합니다.
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-18
1장
table-map through title 명령
test dynamic-access-policy attributes
test dynamic-access-policy attributes
dap attributes 모드를 시작하려면 특권 EXEC 모드에서 test dynamic-access-policy attributes 명령
을 입력합니다. 이렇게 하면 사용자 및 엔드포인트 특성 값 쌍을 지정할 수 있습니다.
dynamic-access-policy attributes
기본값
기본값 또는 동작은 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
사용 지침
릴리스
8.0(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
일반적으로 ASA는 AAA 서버에서 사용자 권한 부여 특성을 검색하고, Cisco Secure Desktop, Host
Scan, CNA 또는 NAC에서 엔드포인트 특성을 검색합니다. 테스트 명령의 경우 이 특성 모드에서
사용자 권한 부여 및 엔드포인트 특성을 지정합니다. ASA는 DAP 레코드에 대한 AAA 선택 특성
및 엔드포인트 선택 특성을 평가할 때 DAP 하위 시스템에서 참조하는 특성 데이터베이스에 이러
한 특성을 기록합니다.
이 기능을 사용하여 DAP 레코드 생성을 실험할 수 있습니다.
예
다음 예에서는 attributes 명령을 사용하는 방법을 보여 줍니다.
ciscoasa # test dynamic-access-policy attributes
ciscoasa(config-dap-test-attr)#
관련 명령
명령
dynamic-access-policy-record
DAP 레코드를 만듭니다.
설명
attributes
사용자 특성 값 쌍을 지정할 수 있는 특성 모드를 시작합니다.
display
현재 특성 목록을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-19
table-map through title 명령
1장
test dynamic-access-policy execute
test dynamic-access-policy execute
이미 구성된 DAP 레코드를 테스트하려면 특권 EXEC 모드에서 test dynamic-access-policy execute
명령을 사용합니다.
test dynamic-access-policy execute
구문 설명
AAA attribute value
장치의 DAP 하위 시스템에서는 각 레코드에 대한 AAA 및 엔드포인트 선
택 특성을 평가할 때 이러한 값을 참조합니다.
– AAA Attribute - AAA 특성을 식별합니다.
– Operation Value - 지정된 값과 =/!=(같음/같지 않음)로 특성을 식별
합니다.
endpoint attribute
value
엔드포인트 특성을 식별합니다.
– Endpoint ID - 엔드포인트 특성 ID를 제공합니다.
– Name/Operation/Value
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
사용 지침
릴리스
8.4(4)
라우팅됨
•
예
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령을 사용하면 권한 부여 특성 값 쌍을 지정하여 장치에 구성된 DAP 레코드 집합 검색을 테
스트할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-20
투명
1장
table-map through title 명령
test regex
test regex
정규식을 테스트하려면 특권 EXEC 모드에서 test regex 명령을 사용합니다.
test regex input_text regular_expression
구문 설명
input_text
정규식과 일치시킬 텍스트를 지정합니다.
regular_expression
100자 이내로 정규식을 지정합니다. 정규식에서 사용할 수 있는 메타 문
자 목록은 regex 명령을 참고하십시오.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
•
단일
예
•
상황
예
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
test regex 명령은 정규식을 테스트하여 일치 여부를 확인합니다.
정규식이 입력 텍스트와 일치하는 경우 다음 메시지가 표시됩니다.
INFO: Regular expression match succeeded.
정규식이 입력 텍스트와 일치하지 않는 경우 다음 메시지가 표시됩니다.
INFO: Regular expression match failed.
예
다음 예에서는 정규식에 대해 입력 텍스트를 테스트합니다.
ciscoasa# test regex farscape scape
INFO: Regular expression match succeeded.
ciscoasa# test regex farscape scaper
INFO: Regular expression match failed.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-21
1장
table-map through title 명령
test regex
관련 명령
명령
class-map type inspect
설명
애플리케이션에 특정한 트래픽과 일치시킬 검사 클래스 맵
을 만듭니다.
policy-map
트래픽 클래스를 하나 이상의 작업과 연결하여 정책 맵을 생
성합니다.
policy-map type inspect
애플리케이션 검사를 위한 특정 작업을 정의합니다.
class-map type regex
정규식 클래스 맵을 만듭니다.
regex
정규식을 만듭니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-22
1장
table-map through title 명령
test sso-server
test sso-server
평가판 인증 요청으로 SSO 서버를 테스트하려면 특권 EXEC 모드에서 test sso-server 명령을 사용
합니다.
test sso-server server-name username user-name
구문 설명
server-name
테스트할 SSO 서버 이름을 지정합니다.
user-name
테스트할 SSO 서버의 사용자 이름을 지정합니다.
기본값
기본값 또는 동작은 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
사용 지침
라우팅됨
투명
단일
상황
시스템
config-webvpn
•
예
—
•
예
—
—
config-webvpn-sso-saml
•
예
—
•
예
—
—
config-webvpn-sso-siteminder
•
예
—
•
예
—
—
전역 컨피그레이션 모드
•
예
—
•
예
—
—
특권 EXEC
•
예
—
•
예
—
—
릴리스
7.1(1)
수정 사항
이 명령이 도입되었습니다.
SSO(WebVPN에만 제공) 지원을 통해 사용자가 사용자 이름 및 비밀번호를 단 한 번만 입력하여 여
러 서버에서 다양한 보안 서비스에 액세스할 수 있습니다. test sso-server 명령은 SSO 서버가 인식
되고 인증 요청에 응답하는지 테스트합니다.
server-name 인수로 지정된 SSO 서버를 찾을 수 없는 경우 다음 오류가 표시됩니다.
ERROR: sso-server server-name does not exist
SSO 서버를 찾았지만 user-name 인수로 지정된 사용자를 찾을 수 없는 경우에는 인증이 거부됩니다.
인증에서 ASA는 SSO 서버의 WebVPN 사용자를 위한 프록시 역할을 합니다. ASA는 현재
SiteMinder SSO 서버(이전의 Netegrity SiteMinder) 및 SAML POST 유형 SSO 서버를 지원합니다.
이 명령은 두 유형의 SSO 서버 모두에 적용됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-23
1장
table-map through title 명령
test sso-server
예
특권 EXEC 모드에서 입력된 다음 예에서는 Anyuser라는 사용자 이름을 사용하여 my-sso-server라
는 SSO 서버를 성공적으로 테스트합니다.
ciscoasa# test sso-server my-sso-server username Anyuser
INFO: Attempting authentication request to sso-server my-sso-server for user Anyuser
INFO: STATUS: Success
ciscoasa#
다음 예에서는 동일한 서버를 테스트하지만 Anotheruser라는 사용자가 인식되지 않아 인증에 실패
한 결과를 보여 줍니다.
ciscoasa# test sso-server my-sso-server username Anotheruser
INFO: Attempting authentication request to sso-server my-sso-server for user Anotheruser
INFO: STATUS: Failed
ciscoasa#
관련 명령
명령
max-retry-attempts
설명
ASA에서 SSO 인증을 재시도할 수 있는 횟수를 구성합니다.
policy-server-secret
SiteMinder SSO 서버에 대한 인증 요청을 암호화하는 데 사
용되는 비밀 키를 생성합니다.
request-timeout
시간 초과로 인해 SSO 인증 시도가 실패하는 시간(초)을 지
정합니다.
show webvpn sso-server
보안 장치에 구성된 모든 SSO 서버에 대한 운영 통계를 표시
합니다.
sso-server
SSO(Single Sign On) 서버를 만듭니다.
web-agent-url
ASA에서 SiteMinder SSO 인증 요청을 작성하는 SSO 서버
URL을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-24
1장
table-map through title 명령
text-color
text-color
로그인, 홈 페이지 및 파일 액세스 페이지의 WebVPN 제목 표시줄에 표시되는 텍스트의 색상을 설
정하려면 webvpn 모드에서 text-color 명령을 사용합니다. 컨피그레이션에서 텍스트 색상을 제거
하고 기본값을 다시 설정하려면 이 명령의 no 형식을 사용합니다.
text-color [black | white | auto]
no text-color
구문 설명
auto
secondary-color 명령에 대한 설정에 따라 검은색 또는 흰색을 선택합니
다. 즉, 보조 색상이 검은색인 경우 이 값은 white입니다.
black
제목 표시줄의 기본 텍스트 색상은 흰색입니다.
white
색상을 검은색으로 변경할 수 있습니다.
기본값
제목 표시줄의 기본 텍스트 색상은 흰색입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
config-webvpn
명령 기록
예
릴리스
7.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 제목 표시줄의 텍스트 색상을 검은색으로 설정하는 방법을 보여 줍니다.
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# text-color black
관련 명령
명령
secondary-text-color
설명
WebVPN 로그인, 홈 페이지 및 파일 액세스 페이지의 보조 텍스트 색상
을 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-25
1장
table-map through title 명령
tftp-server
tftp-server
configure net 또는 write net 명령에서 사용할 기본 TFTP 서버 및 경로와 파일 이름을 지정하려면
전역 컨피그레이션 모드에서 tftp-server 명령을 사용합니다. 서버 컨피그레이션을 제거하려면 이
명령의 no 형식을 사용합니다. 이 명령은 IPv4 및 IPv6 주소를 지원합니다.
tftp-server interface_name server filename
no tftp-server [interface_name server filename]
구문 설명
filename
경로 및 파일 이름을 지정합니다.
interface_name
게이트웨이 인터페이스 이름을 지정합니다. 보안 수준이 가장 높은 인터페이
스 이외의 인터페이스를 지정한 경우 인터페이스가 안전하지 않음을 알리는
경고 메시지가 표시됩니다.
server
TFTP 서버 IP 주소 또는 이름을 설정합니다. IPv4 또는 IPv6 주소를 입력할 수
있습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
투명
예
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이제 게이트웨이 인터페이스가 필수입니다.
tftp-server 명령은 configure net 및 write net 명령의 입력을 간소화합니다. configure net 또는
write net 명령을 입력할 때 tftp-server 명령에서 지정된 TFTP 서버를 상속하거나 고유한 값을 제
공할 수 있습니다. 또한 tftp-server 명령의 경로를 있는 그대로 상속하거나, tftp-server 명령 값 끝
에 경로 및 파일 이름을 추가하거나, tftp-server 명령 값을 재정의할 수 있습니다.
ASA는 하나의 tftp-server 명령만 지원합니다.
예
다음 예에서는 TFTP 서버를 지정한 다음 /temp/config/test_config 디렉토리에서 컨피그레이션을 읽
는 방법을 보여 줍니다.
ciscoasa(config)# tftp-server inside 10.1.1.42 /temp/config/test_config
ciscoasa(config)# configure net
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-26
1장
table-map through title 명령
tftp-server
관련 명령
명령
configure net
show running-config
tftp-server
설명
지정한 TFTP 서버 및 경로에서 컨피그레이션을 로드합니다.
컨피그레이션 파일의 기본 TFTP 서버 주소 및 디렉토리를 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-27
1장
table-map through title 명령
tftp-server address
tftp-server address
클러스터의 TFTP 서버를 지정하려면 phone-proxy 컨피그레이션 모드에서 tftp-server address 명
령을 사용합니다. Phone Proxy 컨피그레이션에서 TFTP 서버를 제거하려면 이 명령의 no 형식을 사
용합니다.
tftp-server address ip_address [port] interface interface
no tftp-server address ip_address [port] interface interface
구문 설명
ip_address
TFTP 서버의 주소를 지정합니다.
interface interface
TFTP 서버가 상주하는 인터페이스를 지정합니다. 이는 TFTP 서버의 실제
주소여야 합니다.
port
(선택 사항) 이는 TFTP 서버가 TFTP 요청을 수신 대기하는 포트입니다. 기
본 TFTP 포트 69가 아닌 경우 구성해야 합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
phone-proxy 컨피그레이션
명령 기록
사용 지침
릴리스
8.0(4)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
Phone Proxy에는 하나 이상의 CUCM TFTP 서버가 구성되어 있어야 합니다. Phone Proxy당 최대 5
개의 TFTP 서버를 구성할 수 있습니다.
TFTP 서버는 신뢰할 수 있는 네트워크의 방화벽 뒤에 있는 것으로 가정합니다. 따라서 Phone Proxy
는 IP 전화기와 TFTP 서버 간의 요청을 가로챕니다. TFTP 서버는 CUCM과 동일한 인터페이스에
있어야 합니다.
내부 IP 주소를 사용하여 TFTP 서버를 만들고 TFTP 서버가 상주하는 인터페이스를 지정합니다.
IP 전화기에서 TFTP 서버의 IP 주소를 다음과 같이 구성해야 합니다.
•
NAT가 TFTP 서버에 대해 구성된 경우 TFTP 서버의 전역 IP 주소를 사용합니다.
•
NAT가 TFTP 서버에 대해 구성되지 않은 경우 TFTP 서버의 내부 IP 주소를 사용합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-28
1장
table-map through title 명령
tftp-server address
service-policy가 전역적으로 적용되는 경우 TFTP 서버가 상주하는 인터페이스를 제외하고 모든 이
그레스 인터페이스에서 TFTP 서버에 연결하는 모든 TFTP 트래픽을 전달하기 위한 분류 규칙이 생
성됩니다. service-policy가 특정 인터페이스에서 적용되는 경우 해당 인터페이스에서 TFTP 서버에
연결하는 모든 TFTP 트래픽을 phone-proxy 모듈로 전달하기 위한 분류 규칙이 생성됩니다.
TFTP 서버에 대해 NAT 규칙을 구성할 경우 분류 규칙을 설치할 때 TFTP 서버의 전역 주소가 사용
되도록 service-policy를 적용하기 전에 구성해야 합니다.
예
다음 예에서는 tftp-server address 명령을 사용하여 Phone Proxy에 대해 두 개의 TFTP 서버를 구성
하는 방법을 보여 줍니다.
ciscoasa(config)# phone-proxy
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
관련 명령
명령
phone-proxy
asa_phone_proxy
tftp-server address 192.168.1.2 in interface outside
tftp-server address 192.168.1.3 in interface outside
media-termination address 192.168.1.4 interface inside
media-termination address 192.168.1.25 interface outside
tls-proxy asa_tlsp
ctl-file asactl
cluster-mode nonsecure
설명
Phone Proxy 인스턴스를 구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-29
1장
table-map through title 명령
threat-detection basic-threat
threat-detection basic-threat
기본 위협 감지를 활성화하려면 전역 컨피그레이션 모드에서 threat-detection basic-threat 명령을
사용합니다. 기본 위협 감지를 비활성화하려면 이 명령의 no 형식을 사용합니다.
threat-detection basic-threat
no threat-detection basic-threat
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 위협 감지는 기본적으로 활성화되어 있습니다. 다음 기본 속도 제한이 사용됩니다.
표 1-1
기본 위협 감지 기본 설정
트리거 설정
패킷 삭제 사유
평균 속도
버스트 속도
•
DoS 공격 감지
지난 600초 동안 100개/초 삭제
지난 20초 동안 400개/초 삭제
•
잘못된 패킷 형식
지난 3600초 동안 80개/초 삭제
지난 120초 동안 320개/초 삭제
•
연결 제한 초과
•
의심스러운 ICMP 패킷 감지
지난 600초 동안 5개/초 삭제
지난 20초 동안 10개/초 삭제
지난 3600초 동안 4개/초 삭제
지난 120초 동안 8개/초 삭제
스캔 공격 감지
TCP SYN 공격 감지 또는 데이터 지난 600초 동안 100개/초 삭제
없는 UDP 세션 공격 감지(통합) 지난 3600초 동안 80개/초 삭제
와 같은 완료되지 않은 세션 감지
지난 120초 동안 160개/초 삭제
액세스 목록에 의한 거부
지난 20초 동안 800개/초 삭제
지난 600초 동안 400개/초 삭제
지난 20초 동안 200개/초 삭제
지난 3600초 동안 320개/초 삭제 지난 120초 동안 640개/초 삭제
•
기본 방화벽 확인 실패
지난 600초 동안 400개/초 삭제
•
패킷에서 애플리케이션 검
사 실패
지난 3600초 동안 320개/초 삭제 지난 120초 동안 1280개/초 삭제
인터페이스 오버로드
지난 20초 동안 1600개/초 삭제
지난 600초 동안 2000개/초 삭제 지난 20초 동안 8000개/초 삭제
지난 3600초 동안 1600개/초 삭제 지난 120초 동안 6400개/초 삭제
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
라우팅됨
•
예
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-30
투명
•
예
단일
•
예
상황
시스템
—
—
1장
table-map through title 명령
threat-detection basic-threat
명령 기록
사용 지침
릴리스
8.0(2)
수정 사항
이 명령이 도입되었습니다.
8.2(1)
버스트 속도 간격이 평균 속도의 1/60에서 1/30로 변경되었습니다.
기본 위협 감지를 활성화한 경우 ASA는 다음과 같은 사유로 인해 삭제된 패킷의 속도 및 보안 이
벤트를 모니터링합니다.
•
액세스 목록에 의한 거부
•
잘못된 패킷 형식(예: invalid-ip-header 또는 invalid-tcp-hdr-length)
•
연결 제한 초과(시스템 전체 리소스 제한 및 컨피그레이션에 설정된 제한 모두)
•
DoS 공격 감지(예: 잘못된 SPI, 상태 저장 방화벽 확인 실패)
•
기본 방화벽 검사 실패(이 옵션은 이 글머리 기호 목록의 모든 방화벽 관련 패킷 삭제를 포함하
는 통합된 속도입니다. 인터페이스 오버로드, 애플리케이션 검사에 실패한 패킷, 스캔 공격 감
지 등 방화벽과 관련이 없는 삭제는 포함되지 않습니다.)
•
의심스러운 ICMP 패킷 감지
•
패킷에서 애플리케이션 검사 실패
•
인터페이스 오버로드
•
스캔 공격 감지(이 옵션은 스캔 공격을 모니터링합니다. 예를 들어 첫 번째 TCP 패킷이 SYN 패
킷이 아닌 경우 또는 3방향 핸드셰이크에 실패한 TCP 연결을 모니터링합니다. 전체 스캔 위협
감지(threat-detection scanning-threat 명령 참고)에서는 이 스캔 공격 속도 정보를 가져와 호
스트를 공격자로 분류하고 이를 자동으로 차단하는 등의 방식으로 조치를 취합니다.)
•
TCP SYN 공격 감지 또는 데이터 없는 UDP 세션 공격 감지와 같은 완료되지 않은 세션 감지
ASA는 위협을 감지한 경우 즉시 시스템 로그 메시지(733100)를 보내 ASDM에 알립니다.
기본 위협 감지는 삭제 또는 잠재적 위협이 있는 경우에만 성능에 영향을 줍니다. 이 경우에도 성
능 저하는 미미합니다.
“기본값” 섹션의 표 1-1에 기본 설정이 나와 있습니다. show running-config all threat-detection 명
령을 사용하여 이 모든 기본 설정을 볼 수 있습니다. threat-detection rate 명령을 사용하여 각 이벤
트 유형에 대한 기본 설정을 재정의할 수 있습니다.
이벤트 속도를 초과하는 경우 ASA는 시스템 메시지를 보냅니다. ASA는 두 가지 유형의 속도, 즉
간격 동안의 평균 이벤트 속도와 보다 짧은 버스 간격 동안의 버스트 이벤트 속도를 추적합니다. 버
스트 이벤트 속도는 평균 속도 간격의 1/30 또는 10초입니다(둘 중 높은 값). 수신된 각 이벤트에 대
해 ASA는 평균 및 버스트 속도 제한을 확인합니다. 두 속도 모두 초과하는 경우 ASA는 두 개의 개
별 시스템 메시지를 보냅니다(버스트 기간별 각 속도 유형에 대한 최대 하나의 메시지 포함).
예
다음 예에서는 기본 위협 감지를 활성화하고 DoS 공격에 대한 트리거를 변경합니다.
ciscoasa(config)# threat-detection basic-threat
ciscoasa(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60
burst-rate 100
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-31
1장
table-map through title 명령
threat-detection basic-threat
관련 명령
명령
clear threat-detection rate
설명
기본 위협 감지 통계를 지웁니다.
show running-config all
threat-detection
개별적으로 구성하지 않은 기본 속도 설정을 포함하여 위협 감
지 컨피그레이션을 표시합니다.
show threat-detection rate
기본 위협 감지 통계를 표시합니다.
threat-detection rate
이벤트 유형별 위협 감지 속도 제한을 설정합니다.
threat-detection scanning-threat
스캔 위협 감지를 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-32
1장
table-map through title 명령
threat-detection rate
threat-detection rate
threat-detection basic-threat 명령을 사용하여 기본 위협 감지를 활성화한 경우 전역 컨피그레이션
모드에서 threat-detection rate 명령을 사용하여 각 이벤트 유형에 대한 기본 속도 제한을 변경할 수
있습니다. threat-detection scanning-threat 명령을 사용하여 스캔 위협 감지를 활성화한 경우
scanning-threat 키워드가 포함된 이 명령은 호스트가 공격자 또는 대상으로 간주되는 경우를 설정
합니다. 그렇지 않으면 기본 및 스캔 위협 감지 모두에 기본 scanning-threat 값이 사용됩니다. 기본
설정을 복원하려면 이 명령의 no 형식을 사용합니다.
threat-detection rate {acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop |
icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack} rate-interval
rate_interval average-rate av_rate burst-rate burst_rate
no threat-detection rate {acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop |
icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack} rate-interval
rate_interval average-rate av_rate burst-rate burst_rate
구문 설명
acl-drop
average-rate av_rate
bad-packet-drop
burst-rate burst_rate
conn-limit-drop
dos-drop
fw-drop
icmp-drop
inspect-drop
interface-drop
rate-interval
rate_interval
scanning-threat
syn-attack
액세스 목록 거부로 인해 삭제된 패킷의 속도 제한을 설정합니다.
0~2147483647의 평균 속도 제한(삭제 수/초)을 설정합니다.
잘못된 패킷 형식(예: invalid-ip-header 또는 invalid-tcp-hdr-length) 거부
로 인해 삭제된 패킷의 속도 제한을 설정합니다.
0~2147483647의 버스트 속도 제한(삭제 수/초)을 설정합니다. 버스트 속
도는 N초 단위의 평균 속도로 계산됩니다(여기서 N은 버스트 속도 간격).
버스트 속도 간격은 rate-interval rate_interval 값의 1/30 또는 10초입니다
(둘 중 높은 값).
연결 제한(시스템 수준 리소스 제한 및 컨피그레이션에 설정된 제한) 초
과로 인해 삭제된 패킷의 속도 제한을 설정합니다.
감지된 DoS 공격(예: 잘못된 SPI, 상태 저장 방화벽 확인 실패)으로 인해
삭제된 패킷의 속도 제한을 설정합니다.
기본 방화벽 확인 실패로 인해 삭제된 패킷의 속도 제한을 설정합니다.
이 옵션은 이 명령의 모든 방화벽 관련 패킷 삭제를 포함하는 통합 속도
입니다. 방화벽과 관련되지 않은 삭제(예: interface-drop, inspect-drop
및 scanning-threat)는 포함하지 않습니다.
의심스러운 ICMP 패킷 감지 거부로 인해 삭제된 패킷의 속도 제한을 설
정합니다.
애플리케이션 검사에 실패한 패킷으로 인해 삭제된 패킷의 속도 제한을
설정합니다.
인터페이스 오버로드로 인해 삭제된 패킷의 속도 제한을 설정합니다.
600초에서 2592000초(30일) 사이의 평균 속도 간격을 설정합니다. 속도
간격은 삭제 평균을 구할 기간을 결정하는 데 사용됩니다. 또한 버스트
임계값 속도 간격을 결정합니다.
감지된 스캔 공격으로 인해 삭제된 패킷의 속도 제한을 설정합니다. 이
옵션은 스캔 공격을 모니터링합니다. 예를 들어 첫 번째 TCP 패킷이
SYN 패킷이 아닌 경우 또는 3방향 핸드셰이크에 실패한 TCP 연결을 모
니터링합니다. 전체 스캔 위협 감지(threat-detection scanning-threat 명
령 참고)에서는 이 스캔 공격 속도 정보를 가져와 호스트를 공격자로 분
류하고 이를 자동으로 차단하는 등의 방식으로 조치를 취합니다.
불완전한 세션(예: TCP SYN 공격 또는 데이터 없는 UDP 세션 공격)으로
인해 삭제된 패킷의 속도 제한을 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-33
1장
table-map through title 명령
threat-detection rate
기본값
threat-detection basic-threat 명령을 사용하여 기본 위협 감지를 활성화한 경우 다음 기본 속도 제
한이 사용됩니다.
표 1-2
기본 위협 감지 기본 설정
트리거 설정
패킷 삭제 사유
버스트 속도
•
dos-drop
지난 600초 동안 100개/초 삭제
지난 20초 동안 400개/초 삭제
•
bad-packet-drop
지난 3600초 동안 100개/초 삭제
지난 120초 동안 400개/초 삭제
•
conn-limit-drop
•
icmp-drop
지난 600초 동안 5개/초 삭제
지난 20초 동안 10개/초 삭제
지난 3600초 동안 5개/초 삭제
지난 120초 동안 10개/초 삭제
지난 600초 동안 100개/초 삭제
지난 20초 동안 200개/초 삭제
지난 3600초 동안 100개/초 삭제
지난 120초 동안 200개/초 삭제
지난 600초 동안 400개/초 삭제
지난 20초 동안 800개/초 삭제
지난 3600초 동안 400개/초 삭제
지난 120초 동안 800개/초 삭제
scanning-threat
syn-attack
acl-drop
•
fw-drop
지난 600초 동안 400개/초 삭제
지난 20초 동안 1600개/초 삭제
•
inspect-drop
지난 3600초 동안 400개/초 삭제
지난 120초 동안 1600개/초 삭제
지난 600초 동안 2000개/초 삭제
지난 20초 동안 8000개/초 삭제
지난 3600초 동안 2000개/초 삭제
지난 120초 동안 8000개/초 삭제
interface-drop
명령 모드
평균 속도
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
라우팅됨
•
예
•
예
단일
•
예
상황
시스템
—
—
릴리스
8.0(2)
수정 사항
이 명령이 도입되었습니다.
8.2(1)
버스트 속도 간격이 평균 속도의 1/60에서 1/30로 변경되었습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-34
투명
1장
table-map through title 명령
threat-detection rate
사용 지침
각 이벤트 유형에 대해 최대 3개의 속도 간격을 구성할 수 있습니다.
기본 위협 감지를 활성화한 경우 ASA는 “구문 설명” 표에 설명된 이벤트 유형으로 인해 삭제된 패
킷의 속도 및 보안 이벤트를 모니터링합니다.
ASA는 위협을 감지한 경우 즉시 시스템 로그 메시지(733100)를 보내 ASDM에 알립니다.
기본 위협 감지는 삭제 또는 잠재적 위협이 있는 경우에만 성능에 영향을 줍니다. 이 경우에도 성
능 저하는 미미합니다.
“기본값” 섹션의 표 1-1에 기본 설정이 나와 있습니다. show running-config all threat-detection 명
령을 사용하여 이 모든 기본 설정을 볼 수 있습니다.
이벤트 속도를 초과하는 경우 ASA는 시스템 메시지를 보냅니다. ASA는 두 가지 유형의 속도, 즉
간격 동안의 평균 이벤트 속도와 보다 짧은 버스 간격 동안의 버스트 이벤트 속도를 추적합니다. 수
신된 각 이벤트에 대해 ASA는 평균 및 버스트 속도 제한을 확인합니다. 두 속도 모두 초과하는 경
우 ASA는 두 개의 개별 시스템 메시지를 보냅니다(버스트 기간별 각 속도 유형에 대한 최대 하나
의 메시지 포함).
예
다음 예에서는 기본 위협 감지를 활성화하고 DoS 공격에 대한 트리거를 변경합니다.
ciscoasa(config)# threat-detection basic-threat
ciscoasa(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60
burst-rate 100
관련 명령
명령
clear threat-detection rate
기본 위협 감지 통계를 지웁니다.
설명
show running-config all
threat-detection
개별적으로 구성하지 않은 기본 속도 설정을 포함하여 위협 감
지 컨피그레이션을 표시합니다.
show threat-detection rate
기본 위협 감지 통계를 표시합니다.
threat-detection basic-threat
기본 위협 감지를 활성화합니다.
threat-detection scanning-threat
스캔 위협 감지를 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-35
1장
table-map through title 명령
threat-detection scanning-threat
threat-detection scanning-threat
스캔 위협 감지를 활성화하려면 전역 컨피그레이션 모드에서 threat-detection scanning-threat 명
령을 사용합니다. 스캔 위협 감지를 비활성화하려면 이 명령의 no 형식을 사용합니다.
threat-detection scanning-threat [shun
[except {ip-address ip_address mask | object-group network_object_group_id} |
duration seconds]]
no threat-detection scanning-threat [shun
[except {ip-address ip_address mask | object-group network_object_group_id} |
duration seconds]]
구문 설명
기본값
duration seconds
10초에서 2592000초 사이의 공격 호스트에 대한 차단 기간을 설정
합니다. 기본 길이는 3600초(1시간)입니다.
except
IP 주소를 차단에서 제외합니다. 이 명령을 여러 번 입력하여 차단
에서 제외할 여러 IP 주소 또는 네트워크 개체 그룹을 식별할 수 있
습니다.
ip-address ip_address mask
차단에서 제외할 IP 주소를 지정합니다.
object-group
network_object_group_id
차단에서 제외할 네트워크 개체 그룹을 지정합니다. 객체 그룹을 만
드는 방법은 object-group network 명령을 참고하십시오.
shun
ASA에서 호스트를 공격자로 식별한 경우 시스템 로그 메시지
733101을 보내는 것 외에, 호스트 연결을 자동으로 종료합니다.
기본 차단 기간은 3600초(1시간)입니다.
다음 기본 속도 제한은 스캔 공격 이벤트에 사용됩니다.
표 1-3
명령 모드
스캔 위협 감지에 대한 기본 속도 제한
평균 속도
버스트 속도
지난 600초 동안 5개/초 삭제
지난 20초 동안 10개/초 삭제
지난 3600초 동안 5개/초 삭제
지난 120초 동안 10개/초 삭제
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
라우팅됨
•
예
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-36
투명
•
예
단일
•
예
상황
시스템
—
—
1장
table-map through title 명령
threat-detection scanning-threat
명령 기록
사용 지침
릴리스
8.0(2)
수정 사항
이 명령이 도입되었습니다.
8.0(4)
duration 키워드가 추가되었습니다.
일반적인 스캔 공격은 서브넷의 모든 IP 주소에 대한 액세스 가능성을 테스트하는 호스트로 구성
됩니다(서브넷의 여러 호스트를 통해 스캔하거나 호스트 또는 서브넷의 여러 포트를 통해 삭제).
스캔 위협 감지 기능은 호스트에서 스캔을 수행하는 시점을 결정합니다. 트래픽 서명을 기반으로
하는 IPS 스캔 감지와 달리, ASA 스캔 위협 감지 기능은 스캔 활동에 대해 분석할 수 있는 호스트
통계가 포함된 광범위한 데이터베이스를 유지합니다.
호스트 데이터베이스는 반환 활동이 없는 연결, 닫힌 서비스 포트 액세스, 취약한 TCP 동작(예: 비
임의 IPID), 기타 여러 동작 등 의심스러운 활동을 추적합니다.
주의
스캔 위협 감지 기능은 호스트 및 서브넷 기반 데이터 구조 및 정보를 만들고 수집하는 동안 ASA
성능 및 메모리에 상당한 영향을 줄 수 있습니다.
공격자에 대한 시스템 로그 메시지를 보내도록 ASA를 구성하거나 호스트를 자동으로 차단할 수
있습니다. 호스트가 공격자로 식별되면 기본적으로 시스템 로그 메시지 730101이 생성됩니다.
ASA는 스캔 위협 이벤트 속도가 초과된 경우 공격자 및 대상을 식별합니다. ASA는 두 가지 유형
의 속도, 즉 간격 동안의 평균 이벤트 속도와 보다 짧은 버스 간격 동안의 버스트 이벤트 속도를 추
적합니다. 스캔 공격의 일부로 간주되는 감지된 각 이벤트에 대해 ASA는 평균 및 버스트 속도 제
한을 확인합니다. 호스트에서 전송된 트래픽이 두 속도 중 하나를 초과하는 경우 해당 호스트는 공
격자로 간주됩니다. 호스트에서 수신한 트래픽이 두 속도 중 하나를 초과하는 경우 해당 호스트는
대상으로 간주됩니다. threat-detection rate scanning-threat 명령을 사용하여 스캔 위협 이벤트에
대한 속도 제한을 변경할 수 있습니다.
공격자 또는 대상으로 분류된 호스트를 보려면 show threat-detection scanning-threat 명령을 사용
합니다.
차단된 호스트를 보려면 show threat-detection shun 명령을 사용합니다. 호스트의 차단을 해제하
려면 clear threat-detection shun 명령을 사용합니다.
예
다음 예에서는 스캔 위협 감지를 활성화하고 공격자로 분류된 호스트(10.1.1.0 네트워크의 호스트
제외)를 자동으로 차단합니다. 스캔 위협 감지에 대한 기본 속도 제한도 변경됩니다.
ciscoasa(config)# threat-detection scanning-threat shun except ip-address 10.1.1.0
255.255.255.0
ciscoasa(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 10
burst-rate 20
ciscoasa(config)# threat-detection rate scanning-threat rate-interval 2400 average-rate 10
burst-rate 20
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-37
1장
table-map through title 명령
threat-detection scanning-threat
관련 명령
명령
clear threat-detection shun
설명
호스트를 차단에서 해제합니다.
show threat-detection
scanning-threat
공격자 및 대상으로 분류된 호스트를 표시합니다.
show threat-detection shun
현재 차단된 호스트를 표시합니다.
threat-detection basic-threat
기본 위협 감지를 활성화합니다.
threat-detection rate
이벤트 유형별 위협 감지 속도 제한을 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-38
1장
table-map through title 명령
threat-detection statistics
threat-detection statistics
고급 위협 감지 통계를 활성화하려면 전역 컨피그레이션 모드에서 threat-detection statistics 명령
을 사용합니다. 고급 위협 감지 통계를 비활성화하려면 이 명령의 no 형식을 사용합니다.
주의
통계를 활성화하면 활성화된 통계 유형에 따라 ASA 성능이 영향을 받을 수 있습니다.
threat-detection statistics host 명령은 성능에 상당한 영향을 줍니다. 트래픽 부하가 큰 경우 이 유
형의 통계를 일시적으로 활성화하는 것이 좋을 수 있습니다. 그러나 threat-detection statistics port
명령은 적당한 영향을 줍니다.
threat-detection statistics [access-list | [host | port | protocol [number-of-rate {1 | 2 | 3}] |
tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate
attacks_per_sec]]
no threat-detection statistics [access-list | host | port | protocol | tcp-intercept [rate-interval
minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]]
구문 설명
access-list
(선택 사항) 액세스 목록 거부에 대한 통계를 활성화합니다. 액세스
목록 통계는 show threat-detection top access-list 명령을 통해서만
표시됩니다.
average-rate
attacks_per_sec
(선택 사항) TCP 가로채기에 대해 시스템 로그 메시지 생성 평균 속
도 임계값(25~2147483647)을 설정합니다. 기본값은 200/초입니다.
평균 속도가 초과되면 시스템 로그 메시지 733105가 생성됩니다.
burst-rate attacks_per_sec
(선택 사항) TCP 가로채기에 대해 시스템 로그 메시지 생성 임계값
(25~2147483647)을 설정합니다. 기본값은 400/초입니다. 버스트 속
도가 초과되면 시스템 로그 메시지 733104가 생성됩니다.
host
(선택 사항) 호스트 통계를 활성화합니다. 호스트 통계는 호스트가
활성화되어 있는 동안 스캔 위협 호스트 데이터베이스에서 누적됩
니다. 비활성 상태가 10분간 지속된 후에는 데이터베이스에서 호스
트가 삭제되고 통계가 지워집니다.
number-of-rate {1 | 2 | 3}
(선택 사항) 호스트, 포트 또는 프로토콜 통계에 대해 유지되는 속도
간격 수를 설정합니다. 기본 속도 간격 수는 1입니다. 이는 메모리
사용량을 낮게 유지합니다. 추가 속도 간격을 보려면 값을 2 또는 3
으로 설정합니다. 예를 들어 값을 3으로 설정하면 지난 1시간, 8시간
및 24시간 동안의 데이터를 볼 수 있습니다. 이 키워드를 1(기본값)
로 설정하면 가장 짧은 속도 간격 통계가 유지됩니다. 이 값을 2로
설정하면 두 개의 가장 짧은 간격이 유지됩니다.
port
(선택 사항) 포트 통계를 활성화합니다.
protocol
(선택 사항) 프로토콜 통계를 활성화합니다.
rate-interval minutes
(선택 사항) TCP 가로채기에 대해 기록 모니터링 윈도우 크기
(1~1440분)를 설정합니다. 기본값은 30분입니다. 이 간격 동안 ASA
는 30회의 공격을 샘플링합니다.
tcp-intercept
(선택 사항) TCP 가로채기에 의해 가로채기된 공격에 대한 통계를
활성화합니다. TCP 가로채기를 활성화하려면 set connection
embryonic-conn-max command 또는 nat 또는 static 명령을 참고하
십시오.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-39
1장
table-map through title 명령
threat-detection statistics
기본값
액세스 목록 통계는 기본적으로 활성화되어 있습니다. 이 명령에서 옵션을 지정하지 않으면 모든
옵션이 활성화됩니다.
기본 tcp-intercept rate-interval은 30분입니다. 기본 burst-rate은 400/초입니다. 기본 average-rate
은 200/초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
릴리스
8.0(2)
이 명령이 도입되었습니다.
수정 사항
8.0(4)/8.1(2)
tcp-intercept 키워드가 추가되었습니다.
8.1(2)
number-of-rates 키워드가 호스트 통계에 대해 추가되고, 기본 속도 수가
3에서 1로 변경되었습니다.
8.2(1)
버스트 속도 간격이 평균 속도의 1/60에서 1/30로 변경되었습니다.
8.3(1)
number-of-rates 키워드가 포트 및 프로토콜 통계에 대해 추가되고, 기본
속도 수가 3에서 1로 변경되었습니다.
이 명령에서 옵션을 지정하지 않으면 모든 통계가 활성화됩니다. 특정 통계만 활성화하려면 각 통
계 유형에 대해 이 명령을 입력하고, 옵션 없이 명령을 입력하지 않습니다. threat-detection
statistics(옵션 없이)를 입력한 다음 statistics-specific 옵션과 함께 명령을 입력(예: threat-detection
statistics host number-of-rate 2)하여 특정 통계를 사용자 지정할 수 있습니다. threat-detection
statistics(옵션 없이)를 입력한 다음 특정 통계에 대한 명령을 통계별 옵션 없이 입력한 경우에는 해
당 명령이 이미 활성화되어 있기 때문에 아무 효과가 없습니다.
이 명령의 no 형식을 입력한 경우에는 기본적으로 활성화되는 threat-detection statistics access-list
명령을 포함하여 모든 threat-detection statistics 명령이 제거됩니다.
show threat-detection statistics 명령을 사용하여 통계를 확인합니다.
threat-detection scanning-threat 명령을 사용하여 스캔 위협 감지를 활성화하지 않아도 됩니다. 감
지와 통계를 개별적으로 구성할 수 있습니다.
예
다음 예에서는 호스트를 제외하고 모든 유형에 대해 스캔 위협 감지 및 스캔 위협 통계를 활성화합
니다.
ciscoasa(config)#
255.255.255.0
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
threat-detection scanning-threat shun except ip-address 10.1.1.0
threat-detection
threat-detection
threat-detection
threat-detection
statistics
statistics
statistics
statistics
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-40
access-list
port
protocol
tcp-intercept
1장
table-map through title 명령
threat-detection statistics
관련 명령
명령
threat-detection scanning-threat
설명
스캔 위협 감지를 활성화합니다.
show threat-detection statistics host
호스트 통계를 표시합니다.
show threat-detection memory
고급 위협 감지 통계의 메모리 사용량을 표시합니다.
포트 통계를 표시합니다.
show threat-detection statistics protocol 프로토콜 통계를 표시합니다.
show threat-detection statistics top
상위 10개의 통계를 표시합니다.
show threat-detection statistics port
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-41
1장
table-map through title 명령
threshold
threshold
SLA 모니터링 작업에서 임계값 초과 이벤트에 대한 임계값을 설정하려면 SLA 모니터 컨피그레이
션 모드에서 threshold 명령을 사용합니다. 기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
threshold milliseconds
no threshold
구문 설명
milliseconds
기본값
기본 임계값은 5000밀리초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
선언할 상승 임계값의 밀리초 수를 지정합니다. 유효한 값은
0~2147483647입니다. 이 값은 시간 제한에 대해 설정된 값보다 클 수 없
습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
SLA 모니터 컨피그레이션
명령 기록
릴리스
7.2(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
임계값은 연결성에 영향을 주지 않지만 timeout 명령에 대한 적절한 설정을 평가하는 데 사용될 수
있는 초과 임계값 이벤트를 나타내는 데에만 사용됩니다.
예
다음 예에서는 ID 123을 사용하여 SLA 작업을 구성하고 ID가 1인 추적 작업을 만들어 SLA 연결성
을 추적합니다. SLA 작업의 빈도는 10초, 임계값은 2500밀리초, 시간 제한 값은 4000밀리초로 설
정됩니다.
ciscoasa(config)# sla monitor 123
ciscoasa(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
ciscoasa(config-sla-monitor-echo)# threshold 2500
ciscoasa(config-sla-monitor-echo)# timeout 4000
ciscoasa(config-sla-monitor-echo)# frequency 10
ciscoasa(config)# sla monitor schedule 123 life forever start-time now
ciscoasa(config)# track 1 rtr 123 reachability
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-42
1장
table-map through title 명령
threshold
관련 명령
명령
sla monitor
설명
SLA 모니터링 작업을 정의합니다.
timeout
SLA 작업의 응답 대기 시간을 정의합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-43
1장
table-map through title 명령
ticket
ticket
Cisco Intercompany Media Engine 프록시에 대한 티켓 에포크 및 비밀번호를 구성하려면 UC-IME
컨피그레이션 모드에서 ticket 명령을 사용합니다. 프록시에서 컨피그레이션을 제거하려면 이 명
령의 no 형식을 사용합니다.
ticket epoch n password password
no ticket epoch n password password
구문 설명
n
비밀번호 무결성 확인 간격을 지정합니다. 1~255의 정수를 입력합니다.
password
Cisco Intercompany Media Engine 티켓에 대한 비밀번호를 설정합니다.
US-ASCII 문자 집합에서 10~64자의 인쇄 가능한 문자를 입력합니다. 허용
되는 문자에는 0x21~0x73이 포함되며, 공백 문자는 제외됩니다.
한 번에 하나의 비밀번호만 구성할 수 있습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
UC-IME 컨피그레이션
명령 기록
사용 지침
릴리스
8.3(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
Cisco Intercompany Media Engine에 대한 티켓 에포크 및 비밀번호를 구성합니다.
에포크는 비밀번호가 변경된 각 시점을 업데이트하는 정수를 포함합니다. 프록시를 처음 구성하
고 비밀번호를 처음 입력하는 경우 에포크 정수에 1을 입력합니다. 비밀번호를 변경할 때마다 새
비밀번호를 나타내도록 에포크를 증가시킵니다. 비밀번호를 변경할 때마다 에포크 값을 증가시켜
야 합니다.
일반적으로 에포크를 순차적으로 증가시킵니다. 그러나 ASA에서는 에포크를 업데이트할 때 원하
는 값을 선택할 수 있습니다.
에포크 값을 변경하면 현재 비밀번호가 무효화되므로 새 비밀번호를 입력해야 합니다.
20자 이상의 비밀번호를 사용하는 것이 좋습니다. 한 번에 하나의 비밀번호만 구성할 수 있습니다.
티켓 비밀번호는 플래시에 저장됩니다. show running-config uc-ime 명령의 출력에는 비밀번호 문
자열 대신 *****가 표시됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-44
1장
table-map through title 명령
ticket
참고
예
관련 명령
ASA에서 구성한 에포크 및 비밀번호는 Cisco Intercompany Media Engine 서버에서 구성한 에포크
및 비밀번호와 일치해야 합니다. 자세한 내용은 Cisco Intercompany Media Engine 서버 설명서를 참
고하십시오.
다음 예에서는 Cisco Intercompany Media Engine 프록시에서 티켓 및 에포크를 지정하는 방법을 보
여 줍니다.
ciscoasa(config)# uc-ime
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
hostname(config-uc-ime)#
hostname(config-uc-ime)#
local_uc-ime_proxy
media-termination ime-media-term
ucm address 192.168.10.30 trunk-security-mode non-secure
ticket epoch 1 password password1234
fallback monitoring timer 120
fallback hold-down timer 30
명령
show running-config
uc-ime
Cisco Intercompany Media Engine 프록시의 실행 중인 컨피그레이션
을 표시합니다.
uc-ime
설명
ASA에서 Cisco Intercompany Media Engine 프록시 인스턴스를 만듭
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-45
1장
table-map through title 명령
timeout
timeout
여러 기능에 대한 전역 최대 유휴 시간을 설정하려면 전역 컨피그레이션 모드에서 timeout 명령을
사용합니다. 모든 시간 제한을 기본값으로 설정하려면 이 명령의 no 형식을 사용합니다. 단일 기능
을 해당 기본값으로 재설정하려면 기본값과 함께 timeout 명령을 다시 입력합니다.
timeout {conn | floating-conn | h225 | h323 | half-closed | icmp | mgcp | mgcp-pat | pat-xlate |
sip | sip-disconnect | sip-invite | sip_media | sip-provisional-media | sunrpc |
tcp-proxy-reassembly | udp | xlate} hh:mm:ss
timeout uauth hh:mm:ss [absolute | inactivity]
no timeout
구문 설명
absolute
(uauth의 경우 선택 사항) uauth 시간 제한이 만료된 후 재인증을 요구합
니다. absolute 키워드는 기본적으로 활성화되어 있습니다. 비활성 기간
후 시간 초과되도록 uauth 타이머를 설정하려면 대신 inactivity 키워드를
입력합니다.
conn
연결이 닫히기 전에 경과해야 하는 유휴 시간(0:5:0~1193:0:0)을 지정합
니다. 기본값은 1시간(1:0:0)입니다. 연결이 시간 초과되지 않도록 하려면
0을 사용합니다.
floating-conn
여러 고정 경로가 서로 다른 메트릭으로 네트워크에 존재하는 경우 ASA
는 연결 생성 시 최상의 메트릭이 있는 경로를 사용합니다. 더 나은 경로
를 사용할 수 있게 되면 연결을 다시 설정하여 해당 경로를 사용할 수 있
도록 이 시간 제한을 통해 연결을 닫을 수 있습니다. 기본값은 0(연결이
시간 초과되지 않음)입니다. 이 기능을 사용하려면 시간 제한을 새 값으
로 변경합니다.
hh:mm:ss
시간, 분, 초 단위로 시간 제한을 지정합니다. 연결이 시간 초과되지 않도
록 하려면 0을 사용합니다(사용 가능한 경우).
h225
H.225 신호 처리 연결이 닫히기 전에 경과해야 하는 유휴 시간
(0:0:0~1193:0:0)을 지정합니다. 기본값은 1시간(1:0:0)입니다. 시간 제한
값 0:0:1은 모든 호출이 지워지는 즉시 타이머를 비활성화하고 TCP 연결
을 닫습니다.
h323
H.245(TCP) 및 H.323(UDP) 미디어 연결이 닫히기 전에 경과해야 하는 유
휴 시간(0:0:0~1193:0:0)을 지정합니다. 기본값은 5분(0:5:0)입니다.
H.245 및 H.323 미디어 연결 모두에 동일한 연결 플래그가 설정되어 있으
므로 H.245(TCP) 연결에서 H.323(RTP 및 RTCP) 미디어 연결과 유휴 시
간 제한을 공유합니다.
half-closed
TCP 반 닫힘 연결이 해제되기 전에 경과해야 하는 유휴 시간을
0:5:0(9.1(1) 이하) 또는 0:0:30(9.1(2) 이상)에서 1193:0:0 사이로 지정합
니다. 기본값은 10분(0:10:0)입니다. 연결이 시간 초과되지 않도록 하려
면 0을 사용합니다.
icmp
ICMP에 대한 유휴 시간(0:0:2~1193:0:0)을 지정합니다. 기본값은 2초
(0:0:2)입니다.
inactivity
(uauth의 경우 선택 사항) 비활성 시간 제한 만료 후 uauth 재인증을 요구
합니다.
mgcp
MGCP 미디어 연결이 제거되기 전에 경과해야 하는 유휴 시간
(0:0:0~1193:0:0)을 설정합니다. 기본값은 5분(0:5:0)입니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-46
1장
table-map through title 명령
timeout
mgcp-pat
MGCP PAT 변환이 제거되기 전에 경과해야 하는 절대 간격
(0:0:0~1193:0:0)을 설정합니다. 기본값은 5분(0:5:0)입니다.
pat-xlate
PAT 변환 슬롯이 확보될 때까지 경과해야 하는 유휴 시간(0:0:30~0:5:0)
을 설정합니다. 기본값은 30초입니다. 이전 연결이 업스트림 장치에서 여
전히 열려 있을 수 있기 때문에 업스트림 라우터가 확보된 PAT 포트를 사
용하는 새 연결을 거부하는 경우 시간 제한을 늘릴 수 있습니다.
sip
SIP 제어 연결이 닫히기 전까지 경과해야 하는 유휴 시간(0:5:0~1193:0:0)
을 지정합니다. 기본값은 30분(0:30:0)입니다. 연결이 시간 초과되지 않
도록 하려면 0을 사용합니다.
sip-disconnect
CANCEL 또는 BYE 메시지에 대해 200 OK가 수신되지 않은 경우 SIP 세
션이 삭제되기 전까지 경과해야 하는 유휴 시간(0:0:1~00:10:0)을 지정합
니다. 기본값은 2분(0:2:0)입니다.
sip-invite
(선택 사항) PROVISIONAL 메시지 및 미디어 xlate에 대한 핀홀이 닫히기
전까지 경과해야 하는 유휴 시간(0:1:0~1193:0:0)을 지정합니다. 기본값
은 3분(0:3:0)입니다.
sip_media
SIP 미디어 연결이 닫히기 전까지 경과해야 하는 유휴 시간
(0:1:0~1193:0:0)을 지정합니다. 기본값은 2분(0:2:0)입니다. 연결이 시간
초과되지 않도록 하려면 0을 사용합니다.
SIP 미디어 타이머는 UDP 비활성 시간 제한 대신 SIP UDP 미디어 패킷
이 있는 SIP RTP/RTCP에 사용됩니다.
sip-provisional-media
SIP 프로비전 미디어 연결의 시간 제한 값(0:1:0~1193:0:0)을 지정합니다.
기본값은 2분(0:2:0)입니다.
sunrpc
SUNRPC 슬롯이 닫히기 전까지 경과해야 하는 유휴 시간
(0:1:0~1193:0:0)을 지정합니다. 기본값은 10분(0:10:0)입니다. 연결이 시
간 초과되지 않도록 하려면 0을 사용합니다.
tcp-proxy-reassembly
재어셈블을 대기하는 버퍼된 패킷이 삭제되기 전까지 경과해야 하는 유
휴 시간 제한(0:0:10~1193:0:0)을 구성합니다. 기본값은 1분(0:1:0)입니다.
uauth
인증 및 권한 부여 캐시가 시간 초과되어 사용자가 다음 연결을 재인증해
야 하기 전까지 경과해야 하는 기간(0:0:0~1193:0:0)을 지정합니다. 기본
값은 5분(0:5:0)입니다. 기본 타이머는 absolute입니다. inactivity 키워드
를 입력하여 비활성 기간 이후에 시간 제한이 발생하도록 설정할 수 있습
니다. uauth 기간은 xlate 기간보다 짧아야 합니다. 캐싱을 비활성화하려
면 0으로 설정합니다. 수동 FTP가 연결에 사용되거나 virtual http 명령이
웹 인증에 사용되는 경우에는 0을 사용하지 마십시오.
udp
UDP 슬롯이 확보될 때까지 경과해야 하는 유휴 시간(0:1:0~1193:0:0)을
설정합니다. 기본값은 2분(0:2:0)입니다. 연결이 시간 초과되지 않도록 하
려면 0을 사용합니다.
xlate
변환 슬롯이 확보될 때까지 경과해야 하는 유휴 시간(0:1:0~1193:0:0)을
설정합니다. 기본값은 3시간(3:0:0)입니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-47
1장
table-map through title 명령
timeout
기본값
명령 모드
기본값은 다음과 같습니다.
•
conn hh:mm:ss - 1시간(1:0:0)
•
floating-conn hh:mm:ss - 시간 초과되지 않음(0)
•
h225 hh:mm:ss - 1시간(1:0:0)
•
h323 hh:mm:ss - 5분(0:5:0)
•
half-closed hh:mm:ss - 10분(0:10:0)
•
icmp hh:mm:ss - 2초(0:0:2)
•
mgcp hh:mm:ss - 5분(0:5:0)
•
mgcp-pat hh:mm:ss - 5분(0:5:0)
•
rpc hh:mm:ss - 5분(0:5:0)
•
sip hh:mm: - 30분(0:30:0)
•
sip-disconnect hh:mm:ss - 2분(0:2:0)
•
sip-invite hh:mm:ss - 3분(0:3:0)
•
sip_media hh:mm:ss - 2분(0:2:0)
•
sip-provisional-media hh:mm:ss - 2분(0:2:0)
•
sunrpc hh:mm:ss - 10분(0:10:0)
•
tcp-proxy-reassembly hh:mm:ss - 1분(0:1:0)
•
uauth hh:mm:ss - 5분(0:5:0) absolute
•
udp hh:mm:ss - 2분(0:02:0)
•
xlate hh:mm:ss - 3시간(3:0:0)
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션 모드
명령 기록
릴리스
7.2(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
—
수정 사항
mgcp-pat, sip-disconnect 및 sip-invite 키워드가 추가되었습니다.
sip-provisional-media 키워드가 추가되었습니다.
7.2(5)/8.0(5)/8.1(2)/8.2(1) tcp-proxy-reassembly 키워드가 추가되었습니다.
8.2(5)/8.4(2)
floating-conn 키워드가 추가되었습니다.
7.2(4)/8.0(4)
8.4(3)
pat-xlate 키워드가 추가되었습니다.
9.1(2)
최소 half-closed 값이 30초(0:0:30)로 낮아졌습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-48
시스템
1장
table-map through title 명령
timeout
사용 지침
timeout 명령을 사용하여 전역 시간 제한을 설정할 수 있습니다. 일부 기능의 경우 set connection
timeout 명령은 해당 명령에서 식별된 트래픽에 대해 우선적으로 적용됩니다.
timeout 명령 뒤에 여러 키워드 및 값을 입력할 수 있습니다.
연결 타이머(conn)가 변환 타이머(xlate)보다 우선합니다. 변환 타이머는 모든 연결이 시간 초과된
후에만 작동합니다.
예
다음 예에서는 최대 유휴 시간을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# timeout uauth 0:5:0 absolute uauth 0:4:0 inactivity
ciscoasa(config)# show running-config timeout
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity
관련 명령
명령
clear configure timeout
설명
시간 제한 컨피그레이션을 지우고 기본값으로 다시 설정합니다.
set connection timeout
MPF(Modular Policy Framework)를 사용하여 연결 시간 제한을 설
정합니다.
show running-config timeout
지정된 프로토콜의 시간 제한 값을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-49
1장
table-map through title 명령
timeout(aaa-server host)
timeout(aaa-server host)
AAA 서버와의 연결 설정을 중단하기 전에 허용되는 호스트별 최대 응답 시간을 구성하려면
aaa-server host 모드에서 timeout 명령을 사용합니다. 시간 제한 값을 제거하고 시간 제한을 기본값
10초로 다시 설정하려면 이 명령의 no 형식을 사용합니다.
timeout seconds
no timeout
구문 설명
seconds
기본값
기본 시간 제한 값은 10초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
요청에 대한 시간 제한 간격(1~60초)을 지정합니다. 이 시간이 지나면 ASA
가 기본 AAA 서버에 대한 요청을 중단합니다. 대기 AAA 서버가 있는 경
우 ASA는 백업 서버로 요청을 보냅니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
aaa-server 호스트 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 모든 AAA 서버 프로토콜 유형에 사용할 수 있습니다.
timeout 명령을 사용하여 ASA가 AAA 서버에 연결하려고 시도하는 기간을 지정할 수 있습니다.
retry-interval 명령을 사용하여 ASA가 연결 시도 간에 대기하는 기간을 지정할 수 있습니다.
시간 제한은 ASA가 서버와의 트랜잭션을 완료하려고 시도하는 데 소요되는 총 시간입니다. 재시
도 간격은 시간 제한 기간 동안 통신이 재시도되는 빈도를 결정합니다. 따라서 재시도 간격이 시간
제한 값보다 크거나 같은 경우에는 재시도가 발생하지 않습니다. 재시도가 발생하려면 재시도 간
격이 시간 제한 값보다 작아야 합니다.
예
다음 예에서는 호스트 1.2.3.4에서 10초의 재시도 간격으로 시간 제한 값 30초를 사용하도록
“svrgrp1”이라는 RADIUS AAA 서버를 구성합니다. 따라서 ASA는 30초 후에 중단할 때까지 통신
을 세 번 시도합니다.
ciscoasa(config)# aaa-server svrgrp1 protocol radius
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa(config-aaa-server-host)# timeout 30
ciscoasa(config-aaa-server-host)# retry-interval 10
ciscoasa(config-aaa-server-host)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-50
1장
table-map through title 명령
timeout(aaa-server host)
관련 명령
명령
aaa-server host
clear configure
aaa-server
설명
호스트별 AAA 서버 매개변수를 구성할 수 있도록 aaa server host 컨
피그레이션 모드를 시작합니다.
컨피그레이션에서 모든 AAA 명령문을 제거합니다.
show running-config aaa 현재 AAA 컨피그레이션 값을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-51
1장
table-map through title 명령
timeout(dns-server-group 컨피그레이션 모드)
timeout(dns-server-group 컨피그레이션 모드)
다음 DNS 서버를 시도하기 전에 대기할 기간을 지정하려면 dns-server-group 컨피그레이션 모드에
서 timeout 명령을 사용합니다. 기본 시간 제한을 복원하려면 이 명령의 no 형식을 사용합니다.
timeout seconds
no timeout [seconds]
구문 설명
seconds
기본값
기본 시간 제한은 2초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
1초에서 30초 사이의 시간 제한(초)을 지정합니다. 기본값은 2초입니다.
ASA가 서버 목록을 재시도할 때마다 이 시간 제한이 두 배가 됩니다.
dns-server-group 컨피그레이션 모드에서 retries 명령을 사용하여 재시도
횟수를 구성할 수 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
예
릴리스
7.1(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 DNS 서버 그룹 “dnsgroup1”의 시간 제한을 1초로 설정합니다.
ciscoasa(config)# dns server-group dnsgroup1
ciscoasa(config-dns-server-group)# dns timeout 1
관련 명령
명령
clear configure dns
설명
사용자가 만든 모든 DNS 서버 그룹을 제거하고 기본 서버 그룹의 특성을
기본값으로 재설정합니다.
domain-name
기본 도메인 이름을 설정합니다.
retries
ASA가 응답을 받지 못한 경우 DNS 서버 목록을 재시도할 횟수를 지정
합니다.
show running-config
dns server-group
현재 실행 중인 DNS 서버 그룹 컨피그레이션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-52
1장
table-map through title 명령
timeout(gtp-map)
timeout(gtp-map)
GTP 세션에 대한 비활성 타이머를 변경하려면 GTP 맵 컨피그레이션 모드에서 timeout 명령을 사
용합니다. 이 모드는 gtp-map 명령을 사용하여 액세스할 수 있습니다. 이러한 간격을 해당 기본값
으로 설정하려면 이 명령의 no 형식을 사용합니다.
timeout {gsn | pdp-context | request | signaling | t3-response | tunnel } hh:mm:ss
no timeout {gsn | pdp-context | request | signaling | t3-response | tunnel } hh:mm:ss
구문 설명
기본값
hh:mm:ss
시간 제한입니다. 여기서 hh는 시간을 지정하고, mm은 분을 지정하며,
ss는 초를 지정하고, 콜론(:)은 이 세 구성요소를 구분합니다. 0 값은 즉
시 중지되지 않음을 의미합니다.
gsn
GSN이 제거되기 전까지 경과해야 하는 비활성 기간을 지정합니다.
pdp-context
PDP 상황 수신을 시작하기 전에 허용되는 최대 기간을 지정합니다.
request
GTP 메시지 수신을 시작하기 전에 허용되는 최대 기간을 지정합니다.
signaling
GTP 신호 처리가 제거되기 전까지 경과해야 하는 비활성 기간을 지정
합니다.
t3-response
GTP 연결이 제거되기 전의 최대 응답 대기 시간을 지정합니다.
tunnel
GTP 터널이 중지되기 전까지 경과해야 하는 비활성 기간을 지정합니다.
기본값은 gsn, pdp-context 및 signaling의 경우 30분입니다.
request에 대한 기본값은 1분입니다.
tunnel에 대한 기본값은 1시간입니다(PDP 상황 삭제 요청이 수신되지 않은 경우).
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
GTP 맵 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
PDP(Packet Data Protocol) 상황은 IMSI와 NSAPI의 조합인 TID(터널 식별자)로 식별됩니다. 각 MS
에는 최대 15개의 NSAPI가 있을 수 있으므로 다양한 QoS 수준에 대한 애플리케이션 요구 사항에
따라 각각 NSAPI가 다른 여러 PDP 상황를 만들 수 있습니다.
GTP 터널은 서로 다른 GSN 노드의 연결된 PDP 상황 2개로 정의되며, 터널 ID로 식별됩니다. GTP
터널은 외부 패킷 데이터 네트워크와 모바일 스테이션 사용자 간에 패킷을 전달하는 데 필요합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-53
1장
table-map through title 명령
timeout(gtp-map)
예
다음 예에서는 요청 대기열에 대한 시간 제한 값을 2분으로 설정합니다.
ciscoasa(config)# gtp-map gtp-policy
ciscoasa(config-gtpmap)# timeout request 00:02:00
관련 명령
명령
clear service-policy
inspect gtp
전역 GTP 통계를 지웁니다.
설명
debug gtp
GTP 검사에 대한 자세한 정보를 표시합니다.
gtp-map
GTP 맵을 정의하고 GTP 맵 컨피그레이션 모드를 활성화합니다.
inspect gtp
애플리케이션 검사에 사용할 특정 GTP 맵을 적용합니다.
show service-policy
inspect gtp
GTP 컨피그레이션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-54
1장
table-map through title 명령
timeout(radius-accounting)
timeout(radius-accounting)
RADIUS 계정 관리 사용자에 대한 비활성 타이머를 변경하려면 radius-accounting 매개변수 컨피그
레이션 모드에서 timeout 명령을 사용합니다. 이 모드는 inspect radius-accounting 명령을 사용하
여 액세스할 수 있습니다. 이러한 간격을 해당 기본값으로 설정하려면 이 명령의 no 형식을 사용합
니다.
timeout users hh:mm:ss
no timeout users hh:mm:ss
구문 설명
hh:mm:ss
시간 제한입니다. 여기서 hh는 시간을 지정하고, mm은 분을 지정하며,
ss는 초를 지정하고, 콜론(:)은 이 세 구성요소를 구분합니다. 0 값은 즉
시 중지되지 않음을 의미합니다. 기본값은 1시간입니다.
users
사용자에 대한 시간 제한을 지정합니다.
기본값
사용자에 대한 기본 시간 제한은 1시간입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
radius-accounting 매개변수 컨
피그레이션
명령 기록
예
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 사용자에 대한 시간 제한 값을 10분으로 설정합니다.
hostname(config)# policy-map type inspect radius-accounting ra
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# timeout user 00:10:00
관련 명령
명령
inspect
radius-accounting
설명
RADIUS 계정 관리에 대한 검사를 설정합니다.
parameters
검사 정책 맵의 매개변수를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-55
1장
table-map through title 명령
timeout(sla monitor)
timeout(sla monitor)
SLA 작업이 요청 패킷에 대한 응답을 기다리는 시간을 설정하려면 SLA 모니터 프로토콜 컨피그레
이션 모드에서 timeout 명령을 사용합니다. 기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
timeout milliseconds
no timeout
구문 설명
milliseconds
기본값
기본 시간 제한 값은 5000밀리초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
0~604800000입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
SLA 모니터 프로토콜 컨피그
레이션
명령 기록
릴리스
7.2(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
frequency 명령을 사용하여 SLA 작업이 요청 패킷을 보내는 빈도를 설정하고, timeout 명령을 사
용하여 SLA 작업이 해당 요청에 대한 응답을 기다리는 기간을 설정할 수 있습니다. timeout 명령
에 지정된 값은 frequency 명령에 지정된 값보다 클 수 없습니다.
예
다음 예에서는 ID 123을 사용하여 SLA 작업을 구성하고 ID가 1인 추적 작업을 만들어 SLA 연결성
을 추적합니다. SLA 작업의 빈도는 10초, 임계값은 2500밀리초, 시간 제한 값은 4000밀리초로 설
정됩니다.
ciscoasa(config)# sla monitor 123
ciscoasa(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
ciscoasa(config-sla-monitor-echo)# threshold 2500
ciscoasa(config-sla-monitor-echo)# timeout 4000
ciscoasa(config-sla-monitor-echo)# frequency 10
ciscoasa(config)# sla monitor schedule 123 life forever start-time now
ciscoasa(config)# track 1 rtr 123 reachability
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-56
1장
table-map through title 명령
timeout(sla monitor)
관련 명령
명령
frequency
설명
SLA 작업이 반복되는 빈도를 지정합니다.
sla monitor
SLA 모니터링 작업을 정의합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-57
1장
table-map through title 명령
timeout pinhole
timeout pinhole
DCERPC 핀홀에 대한 시간 제한을 구성하고 전역 시스템 핀홀 시간 제한(2분)을 재정의하려면 매
개변수 컨피그레이션 모드에서 timeout pinhole 명령을 사용합니다. 매개변수 컨피그레이션 모드
는 정책 맵 컨피그레이션 모드에서 액세스할 수 있습니다. 이 기능을 비활성화하려면 이 명령의 no
형식을 사용합니다.
timeout pinhole hh:mm:ss
no timeout pinhole
구문 설명
hh:mm:ss
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
핀홀 연결에 대한 시간 제한입니다. 값은 0:0:1~1193:0:0입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
매개변수 컨피그레이션
명령 기록
예
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 DCERPC 검사 정책 맵에서 핀홀 연결에 대한 핀홀 시간 제한을 구성하는 방법을 보
여 줍니다.
ciscoasa(config)# policy-map type inspect dcerpc dcerpc_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# timeout pinhole 0:10:00
관련 명령
명령
class
class-map type
inspect
설명
정책 맵에서 클래스 맵 이름을 식별합니다.
애플리케이션에 특정한 트래픽과 일치시킬 검사 클래스 맵을 만듭니다.
계층 3/4 정책 맵을 만듭니다.
show running-config 모든 현재 정책 맵 컨피그레이션을 표시합니다.
policy-map
policy-map
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-58
1장
table-map through title 명령
timers bgp
timers bgp
BGP 네트워크 타이머를 조정하려면 라우터 컨피그레이션 모드에서 timers bgp 명령을 사용합니다.
BGP 타이밍 기본값을 재설정하려면 이 명령의 no 형식을 사용합니다.
timers bgp keepalive holdtime [min-holdtime]
no timers bgp keepalive holdtime [min-holdtime]
구문 설명
keepalive
Cisco IOS 소프트웨어가 해당 피어로 keepalive 메시지를 보내는 빈도(초)
입니다. 기본값은 60초입니다. 범위는 0~65535입니다.
holdtime
소프트웨어가 keepalive 메시지를 받지 못한 후 피어를 정지된 것으로
선언할 때까지의 간격(초)입니다. 기본값은 180초입니다. 범위는
0~65535입니다.
min-holdtime
(선택 사항) BGP 네이버에서 허용되는 최소 보류 시간을 지정하는 간격
(초)입니다. 허용되는 최소 보류 시간은 holdtime 인수에 지정된 간격보
다 작거나 같아야 합니다. 범위는 0~65535입니다.
기본값
keepalive: 60초
holdtime: 180초
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우터 컨피그레이션
명령 기록
릴리스
9.2(1)
사용 지침
라우팅됨
•
예
투명
—
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
holdtime 인수 값을 20초 미만으로 구성하면 다음 경고가 표시됩니다. 20초 미만의 보류 시간은 피
어 플래핑의 가능성을 증가시킵니다.
허용되는 최소 보류 시간이 지정된 보류 시간보다 큰 경우 다음 알림이 표시됩니다. 허용되는 최소
보류 시간은 구성된 보류 시간보다 작거나 같아야 합니다.
참고
허용되는 최소 보류 시간이 BGP 라우터에 구성된 경우 원격 BGP 피어 세션은 원격 피어가 허용되
는 최소 보류 시간 간격보다 크거나 같은 보류 시간을 전달하는 경우에만 설정됩니다. 허용되는 최
소 보류 시간이 구성된 보류 시간보다 큰 경우에는 다음에 원격 세션을 설정하려고 할 때 설정에 실
패하고 로컬 라우터가 “unacceptable hold time”이라는 알림을 보냅니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-59
1장
table-map through title 명령
timers bgp
예
다음 예에서는 keepalive 타이머를 70초로 변경하고 hold-time 타이머를 130초로 변경하며, 허용되
는 최소 보류 시간 간격을 100초로 변경합니다.
ciscoasa(config)# router bgp 45000
ciscoasa(config-router)# timers bgp 70 130 100
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-60
1장
table-map through title 명령
ime-range
ime-range
time-range 컨피그레이션 모드를 시작하고 트래픽 규칙 또는 작업에 연결할 수 있는 시간 범위를 정
의하려면 전역 컨피그레이션 모드에서 time-range 명령을 사용합니다. 비활성화하려면 이 명령의
no 형식을 사용합니다.
time-range name
no time-range name
구문 설명
name
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
시간 범위의 이름입니다. 이름은 64자 이하여야 합니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
시간 범위 생성은 장치에 대한 액세스를 제한하지 않습니다. time-range 명령은 시간 범위만을 정
의합니다. 시간 범위를 정의한 후에는 트래픽 규칙 또는 작업에 연결할 수 있습니다.
시간 기반 ACL을 구현하려면 time-range 명령을 사용하여 하루 및 주중의 특정 시간을 정의합니
다. 그런 다음 access-list extended time-range 명령을 사용하여 시간 범위를 ACL에 바인딩합니다.
시간 범위는 ASA의 시스템 클럭을 기반으로 합니다. 그러나 이 기능은 NTP 동기화에서 가장 효과
적으로 작동합니다.
예
다음 예에서는 “New_York_Minute”이라는 시간 범위를 만들고 시간 범위 컨피그레이션 모드를 시
작합니다.
ciscoasa(config)# time-range New_York_Minute
ciscoasa(config-time-range)#
시간 범위를 만들고 time-range 컨피그레이션 모드를 시작한 후에는 absolute 및 periodic 명령을 사
용하여 시간 범위 매개변수를 정의할 수 있습니다. time-range 명령의 absolute 및 periodic 키워드
에 대한 기본 설정을 복원하려면 time-range 컨피그레이션 모드에서 default 명령을 사용합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-61
1장
table-map through title 명령
ime-range
시간 기반 ACL을 구현하려면 time-range 명령을 사용하여 하루 및 주중의 특정 시간을 정의합니
다. 그런 다음 access-list extended 명령을 사용하여 시간 범위를 ACL에 바인딩합니다. 다음 예에
서는 “Sales”라는 ACL을 “New_York_Minute”이라는 시간 범위에 바인딩합니다.
ciscoasa(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host
209.165.201.1 time-range New_York_Minute
ciscoasa(config)#
ACL에 대한 자세한 내용은 access-list extended 명령을 참고하십시오.
관련 명령
명령
absolute
설명
시간 범위가 적용되는 절대 시간을 정의합니다.
access-list extended
ASA를 통해 IP 트래픽을 허용하거나 거부하는 정책을 구성합니다.
default
time-range 명령의 absolute 및 periodic 키워드에 대한 기본 설정을 복원
합니다.
periodic
time-range 기능을 지원하는 기능에 대한 되풀이(매주) 시간 범위를 지정
합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-62
1장
table-map through title 명령
timeout secure-phones
timeout secure-phones
secure-phone 항목이 Phone Proxy 데이터베이스에서 제거될 때까지의 유휴 시간 제한을 구성하려
면 phone-proxy 컨피그레이션 모드에서 timeout secure-phones 명령을 사용합니다. 시간 제한 값을
기본값인 5분으로 다시 설정하려면 이 명령의 no 형식을 사용합니다.
timeout secure-phones hh:mm:ss
no timeout secure-phones hh:mm:ss
구문 설명
hh:mm:ss
기본값
보안 전화기 시간 제한에 대한 기본값은 5분입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
개체가 제거될 때까지의 유휴 시간 제한을 지정합니다. 기본값은 5분입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.0(4)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
보안 전화기는 부팅 시 항상 CTL 파일을 요청하기 때문에 Phone Proxy는 전화기를 안전한 것으로
표시하는 데이터베이스를 생성합니다. 보안 전화기 데이터베이스의 항목은 구성된(timeout
secure-phones 명령을 통해) 시간 제한 후 제거됩니다. 이 항목의 타임스탬프는 SIP 전화기의 경우
Phone Proxy에서 받은 각 등록 새로 고침, SCCP 전화기의 경우 KeepAlive에 대해 업데이트됩니다.
timeout secure-phones 명령의 기본값은 5분값입니다. SCCP KeepAlive 및 SIP 등록 새로 고침에 대
한 최대 시간 제한 값보다 큰 값을 지정합니다. 예를 들어 SCCP Keepalive가 1분 간격으로 구성되
고 SIP 등록 새로 고침이 3분으로 구성된 경우 이 시간 제한 값을 3분보다 큰 값으로 구성합니다.
예
다음 예에서는 timeout secure-phones 명령을 사용하여 3분 후 보안 전화기 데이터베이스의 항목
이 시간 초과되도록 Phone Proxy를 구성합니다.
ciscoasa(config)# phone-proxy
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
ciscoasa(config-phone-proxy)#
asa_phone_proxy
tftp-server address 192.168.1.2 in interface outside
tftp-server address 192.168.1.3 in interface outside
media-termination address 192.168.1.4
tls-proxy asa_tlsp
ctl-file asactl
timeout secure-phones 00:03:00
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-63
1장
timeout secure-phones
관련 명령
명령
phone-proxy
설명
Phone Proxy 인스턴스를 구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-64
table-map through title 명령
1장
table-map through title 명령
timers lsa arrival
timers lsa arrival
ASA가 OSPFv3 네이버의 동일한 LSA를 허용하는 최소 간격을 설정하려면 IPv6 라우터 컨피그레
이션 모드에서 timers lsa arrival 명령을 사용합니다. 기본값을 복원하려면 이 명령의 no 형식을 사
용합니다.
timers lsa arrival milliseconds
no timers lsa arrival milliseconds
구문 설명
milliseconds
기본값
기본값은 1000밀리초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
네이버에서 수신되는 동일한 LSA를 허용하기 위해 경과해야 하는 최소
지연 시간(밀리초)을 지정합니다. 유효한 값은 0~600,000밀리초입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
IPv6 라우터 컨피그레이션
명령 기록
사용 지침
예
릴리스
9.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령을 사용하여 네이버에서 수신되는 동일한 LSA를 허용하기 위해 경과해야 하는 최소 간격
을 나타낼 수 있습니다.
다음 예에서는 동일한 LSA를 허용하기 위한 최소 간격을 2000밀리초로 설정합니다.
ciscoasa(config-if)# ipv6 router ospf 1
ciscoasa(config-rtr)# log-adjacency-changes
ciscoasa(config-rtr)# timers lsa arrival 2000
관련 명령
명령
ipv6 router ospf
OSPFv3에 대한 라우터 컨피그레이션 모드를 시작합니다.
설명
show ipv6 ospf
OSPFv3 라우팅 프로세스에 대한 일반 정보를 표시합니다.
timers pacing flood
OSPFv3 라우팅 프로세스에 대한 LSA 플러드 패킷 속도 조절을 구성합
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-65
1장
table-map through title 명령
timers lsa-group-pacing(OSPFv2)
timers lsa-group-pacing(OSPFv2)
OSPF LSA(링크 상태 알림)를 그룹으로 수집하고 새로 고치거나, 체크섬하거나, 기간 경과로 설정
할 간격을 지정하려면 라우터 컨피그레이션 모드에서 timers lsa-group-pacing 명령을 사용합니다.
기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
timers lsa-group-pacing seconds
no timers lsa-group-pacing [seconds]
구문 설명
seconds
기본값
기본 간격은 240초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
OSPF LSA(링크 상태 알림)를 그룹으로 수집하고 새로 고치거나, 체크섬하
거나, 기간 경과로 설정할 간격입니다. 유효한 값은 10~1800초입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
라우터 컨피그레이션
명령 기록
사용 지침
예
릴리스
7.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
OSPF LSA(링크 상태 알림)를 그룹으로 수집하고 새로 고치거나, 체크섬하거나, 기간 경과로 설정
할 간격을 변경하려면 라우터 컨피그레이션 모드에서 timers lsa-group-pacing seconds 명령을 사
용합니다. 기본 타이머 값으로 되돌리려면 no timers lsa-group-pacing 명령을 사용합니다.
다음 예에서는 LSA의 그룹 처리 간격을 500초로 설정합니다.
ciscoasa(config-rtr)# timers lsa-group-pacing 500
ciscoasa(config-rtr)#
관련 명령
명령
router ospf
설명
라우터 컨피그레이션 모드를 시작합니다.
show ospf
OSPF 라우팅 프로세스에 대한 일반 정보를 표시합니다.
timers spf
SPF(최단 경로 우선) 계산 지연 및 보류 시간을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-66
1장
table-map through title 명령
timers pacing flood(OSPFv3)
timers pacing flood(OSPFv3)
LSA 플러드 패킷 속도 조절을 구성하려면 IPv6 라우터 컨피그레이션 모드에서 timers pacing flood
명령을 사용합니다. 기본 플러드 패킷 속도 조절 값을 복원하려면 이 명령의 no 형식을 사용합니다.
timers pacing flood milliseconds
no timers pacing flood milliseconds
구문 설명
milliseconds
기본값
기본값은 33밀리초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
플러딩 대기열의 LSA가 업데이트 간격 사이에서 속도 조절되는 시간(밀리
초)을 지정합니다. 컨피그레이션 가능한 범위는 5~100밀리초입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
IPv6 라우터 컨피그레이션
명령 기록
릴리스
9.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
이 명령을 사용하여 LSA 플러드 패킷 속도 조절을 구성할 수 있습니다.
예
다음 예에서는 LSA 플러드 패킷 속도 조절 업데이트가 OSPFv3에 대해 20밀리초 간격으로 발생하
도록 구성합니다.
ciscoasa(config-if)# ipv6 router ospf 1
ciscoasa(config-rtr)# timers pacing flood 20
관련 명령
명령
ipv6 router ospf
설명
IPv6 라우터 컨피그레이션 모드를 시작합니다.
timers pacing
lsa-group
OSPFv3 LSA(링크 상태 알림)를 그룹으로 수집하고 새로 고치거나, 체
크섬하거나, 기간 경과로 설정할 간격을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-67
1장
table-map through title 명령
timers pacing lsa-group(OSPFv3)
timers pacing lsa-group(OSPFv3)
OSPFv3 LSA(링크 상태 알림)를 그룹으로 수집하고 새로 고치거나, 체크섬하거나, 기간 경과로 설
정할 간격을 지정하려면 IPv6 라우터 컨피그레이션 모드에서 timers lsa-group-pacing 명령을 사용
합니다. 기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
timers pacing lsa-group seconds
no timers pacing lsa-group [seconds]
구문 설명
seconds
기본값
기본 간격은 240초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
LSA를 그룹으로 수집하고 새로 고치거나, 체크섬하거나, 기간 경과로
설정할 간격(초)을 지정합니다. 유효한 값은 10~1800초입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
IPv6 라우터 컨피그레이션
명령 기록
릴리스
9.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
이 명령을 사용하여 OSPFv3 LSA를 그룹으로 수집하고 새로 고치거나, 체크섬하거나, 기간 경과로
설정할 간격을 나타낼 수 있습니다.
예
다음 예에서는 LSA 그룹 간의 OSPFv3 그룹 패킷 속도 조절 업데이트가 OSPFv3 라우팅 프로세스
1에 대해 300초 간격으로 발생하도록 설정합니다.
ciscoasa(config-if)# ipv6 router ospf 1
ciscoasa(config-rtr)# timers pacing lsa-group 300
관련 명령
명령
ipv6 router ospf
설명
IPv6 라우터 컨피그레이션 모드를 시작합니다.
show ipv6 ospf
OSPFv3 라우팅 프로세스에 대한 일반 정보를 표시합니다.
timers pacing flood
OSPFv3 라우팅 프로세스에 대한 LSA 플러드 패킷 속도 조절을
구성합니다.
timers pacing retransmission LSA 재전송 패킷 속도 조절을 구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-68
1장
table-map through title 명령
timers pacing retransmission(OSPFv3)
timers pacing retransmission(OSPFv3)
LSA(링크 상태 알림) 재전송 패킷 속도 조절을 구성하려면 라우터 컨피그레이션 모드에서 timers
pacing retransmission 명령을 사용합니다. 기본 재전송 패킷 속도 조절 값을 복원하려면 이 명령의
no 형식을 사용합니다.
timers pacing retransmission milliseconds
no timers pacing retransmission
구문 설명
milliseconds
기본값
기본 간격은 66밀리초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
재전송 대기열의 LSA가 속도 조절되는 시간 간격(밀리초)을 지정합니
다. 유효한 값은 5~200밀리초입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
IPv6 라우터 컨피그레이션
명령 기록
릴리스
9.2(1)
사용 지침
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
OSPF(Open Shortest Path First: 최단 경로 우선 프로토콜) 재전송 속도 조절 타이머를 구성하면
OSPF 재전송 대기열에 있는 연속된 링크 상태 업데이트 패킷 간의 간격을 제어할 수 있습니다. 이
명령을 통해 LSA 업데이트가 발생하는 속도를 제어하여 많은 LSA로 인해 영역이 플러딩될 때 발
생할 수 있는 높은 CPU 또는 버퍼 사용률을 줄일 수 있습니다. OSPF 패킷 재전송 속도 조절 타이
머의 기본 설정은 대부분의 OSPF 배포에 적합합니다.
참고
OSPF 패킷 플러딩 요구 사항을 충족하는 다른 옵션을 모두 사용하지 않은 한 패킷 재전송 속도 조
절 타이머를 변경하지 마십시오. 특히, 네트워크 사업자는 기본 플러딩 타이머를 변경하기 전에 요
약, 스텁 영역 사용, 대기열 조정 및 버퍼 조정을 먼저 수행해야 합니다.
또한 타이머 값 변경에 대한 지침은 없습니다. 각 OSPF 배포는 고유하며, 사례별로 고려해야 합니
다. 네트워크 운영자는 기본 패킷 재전송 속도 조절 타이머 값을 변경할 경우의 위험을 가정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-69
1장
table-map through title 명령
timers pacing retransmission(OSPFv3)
예
다음 예에서는 LSA 플러드 속도 조절 업데이트가 OSPF 라우팅 프로세스 1에 대해 55밀리초 간격
으로 발생하도록 구성합니다.
hostname(config)# router ospf 1
hostname(config-router)# timers pacing retransmission 55
관련 명령
명령
ipv6 router ospf
IPv6 라우터 컨피그레이션 모드를 시작합니다.
설명
show ipv6 ospf
OSPFv3 라우팅 프로세스에 대한 일반 정보를 표시합니다.
timers pacing flood
OSPFv3 라우팅 프로세스에 대한 LSA 플러드 패킷 속도 조절을 구성합
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-70
1장
table-map through title 명령
timers spf
timers spf
SPF(최단 경로 우선) 계산 지연 및 보류 시간을 지정하려면 라우터 컨피그레이션 모드에서 timers
spf 명령을 사용합니다. 기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
timers spf delay holdtime
no timers spf [delay holdtime]
구문 설명
delay
OSPF가 토폴로지 변경 사항을 받은 때부터 SPF(최단 경로 우선) 계산을 시작할 때까지
의 지연 시간(1~65535초)을 지정합니다.
holdtime 연속된 두 SPF 계산 사이의 보류 시간(초)입니다. 유효한 값은 1~65535입니다.
기본값
명령 모드
기본값은 다음과 같습니다.
•
delay는 5초입니다.
•
holdtime은 10초입니다.
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우터 컨피그레이션
명령 기록
사용 지침
예
라우팅됨
•
예
투명
—
릴리스
7.0(1)
이 명령이 도입되었습니다.
9.0(1)
다중 상황 모드가 지원됩니다.
단일
•
예
상황
•
예
시스템
—
수정 사항
OSPF 프로토콜이 토폴로지 변경 사항을 받은 때부터 계산을 시작할 때까지의 지연 시간 및 연속
된 두 SPF 계산 사이의 보류 시간을 구성하려면 timers spf 명령을 사용합니다. 기본 타이머 값으로
되돌리려면 no timers spf 명령을 사용합니다.
다음 예에서는 SPF 계산 지연을 10초로 설정하고, SPF 계산 보류 시간을 20초로 설정합니다.
ciscoasa(config-router)# timers spf 10 20
ciscoasa(config-router)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-71
1장
table-map through title 명령
timers spf
관련 명령
명령
router ospf
설명
라우터 컨피그레이션 모드를 시작합니다.
show ospf
OSPF 라우팅 프로세스에 대한 일반 정보를 표시합니다.
timers
lsa-group-pacing
OSPF LSA(링크 상태 알림)를 수집하고 새로 고치거나, 체크섬하거나,
기간 경과로 설정할 간격을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-72
1장
table-map through title 명령
timers throttle lsa
timers throttle lsa
OSPF(Open Shortest Path First: 최단 경로 우선 프로토콜) LSA(링크 상태 알림) 생성에 대한 속도 제
한 값을 설정하려면 라우터 컨피그레이션 모드에서 timers throttle lsa 명령을 사용합니다. 기본값
을 복원하려면 이 명령의 no 형식을 사용합니다.
LSA 또는 SPF OSPFv3 제한을 구성하려면 IPv6 컨피그레이션 모드에서 timers throttle 명령을 사
용합니다. 제한 컨피그레이션을 제거하려면 이 명령의 no 형식을 사용합니다.
timers throttle [lsa | spf] milliseconds1 milliseconds2 milliseconds3
timers throttle lsa start-interval hold-interval max-interval
no timers throttle [lsa | spf]
no timers throttle lsa
구문 설명
lsa
OSPFv3 LSA 제한을 구성합니다.
milliseconds1
LSA의 첫 번째 발생을 생성할 지연 시간(밀리초)을 지정합니다. SPF 계산에 변
경 사항을 수신할 지연 시간(밀리초)을 지정합니다.
start-interval
LSA의 첫 번째 발생을 생성할 최소 지연 시간(밀리초)을 지정합니다.
참고
LSA의 첫 번째 인스턴스는 로컬 OSPF 토폴로지가 변경된 즉시 생성됩
니다. 다음 LSA는 start-interval 이후에만 생성됩니다.
유효한 값은 0~600,000밀리초입니다. 기본값은 0밀리초입니다. LSA가 즉시 전
송됩니다.
milliseconds2
hold-interval
동일한 LSA를 시작할 최대 지연 시간(밀리초)을 지정합니다. 첫 번째와 두 번째
SPF 계산 사이의 지연 시간(밀리초)을 지정합니다.
LSA를 다시 생성할 최소 지연 시간(밀리초)을 지정합니다. 이 값은 LSA 생성에
대한 이후의 속도 제한 값을 계산하는 데 사용됩니다. 유효한 값은 1~600,000밀
리초입니다. 기본값은 5000밀리초입니다.
milliseconds3
max-interval
동일한 LSA를 시작할 최소 지연 시간(밀리초)을 지정합니다. SPF 계산에 대한
최대 대기 시간(밀리초)을 지정합니다.
LSA를 다시 생성할 최대 지연 시간(밀리초)을 지정합니다. 유효한 값은
1~600,000밀리초입니다. 기본값은 5000밀리초입니다.
OSPFv3 SPF 제한을 구성합니다.
spf
기본값
LSA 제한:
•
milliseconds1의 경우 기본값은 0밀리초입니다.
•
milliseconds2의 경우 기본값은 5000밀리초입니다.
•
milliseconds3의 경우 기본값은 5000밀리초입니다.
SPF 제한:
•
milliseconds1의 경우 기본값은 5000밀리초입니다.
•
milliseconds2의 경우 기본값은 10000밀리초입니다.
•
milliseconds3의 경우 기본값은 10000밀리초입니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-73
1장
table-map through title 명령
timers throttle lsa
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
IPv6 라우터 컨피그레이션
명령 기록
사용 지침
릴리스
9.0(1)
•
예
투명
단일
—
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
LSA 및 SPF 제한은 네트워크가 불안정한 동안 OSPFv3에서 LSA 업데이트 속도를 늦추는 동적 메
커니즘을 제공하며, LSA 속도 제한(밀리초)을 제공하여 OSPFv3을 보다 빠르게 통합할 수 있도록
합니다.
LSA 제한의 경우 최소 또는 최대 시간이 첫 번째 발생 값보다 작으면 OSPFv3이 첫 번째 발생 값으
로 자동으로 수정됩니다. 마찬가지로 지정된 최대 지연 시간이 최소 지연 시간보다 작으면 OSPFv3
이 최소 지연 시간 값으로 자동으로 수정됩니다.
SPF 제한의 경우 milliseconds2 또는 milliseconds3이 milliseconds1보다 작으면 OSPFv3이
milliseconds1 값으로 자동으로 수정됩니다. 마찬가지로 milliseconds3이 milliseconds2보다 작으면
OSPFv3이 milliseconds2 값으로 자동으로 수정됩니다.
예
다음 예에서는 OSPFv3 LSA 제한(밀리초)을 구성합니다.
ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)# timers throttle lsa 100 4000 5000
LSA 제한의 경우 다음 예에서는 지정된 최대 지연 시간 값이 최소 지연 시간 값보다 작은 경우에
발생하는 자동 수정을 보여 줍니다.
ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)# timers throttle lsa 100 50 50
% OSPFv3: Throttle timers corrected to: 100 100 100
ciscoasa(config-rtr)# show running-config ipv6
ipv6 router ospf 10
timers throttle lsa 100 100 100
다음 예에서는 OSPFv3 SPF 제한(밀리초)을 구성합니다.
ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)# timers throttle spf 6000 12000 14000
SPF 제한의 경우 다음 예에서는 지정된 최대 지연 시간 값이 최소 지연 시간 값보다 작은 경우에 발
생하는 자동 수정을 보여 줍니다.
ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)# timers throttle spf 100 50 50
% OSPFv3: Throttle timers corrected to: 100 100 100
ciscoasa(config-rtr)# show running-config ipv6
ipv6 router ospf 10
timers throttle spf 100 100 100
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-74
1장
table-map through title 명령
timers throttle lsa
관련 명령
명령
ipv6 router ospf
설명
IPv6 라우터 컨피그레이션 모드를 시작합니다.
show ipv6 ospf
OSPFv3 라우팅 프로세스에 대한 일반 정보를 표시합니다.
timers
lsa-group-pacing
OSPFv3 LSA(링크 상태 알림)를 수집하고 새로 고치거나, 체크섬하거나,
기간 경과로 설정할 간격을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-75
1장
table-map through title 명령
timers throttle lsa
timers throttle lsa
OSPF(Open Shortest Path First: 최단 경로 우선 프로토콜) LSA(링크 상태 알림) 생성에 대한 속도 제
한 값을 설정하려면 라우터 컨피그레이션 모드에서 timers throttle lsa 명령을 사용합니다. 기본값
을 복원하려면 이 명령의 no 형식을 사용합니다.
timers throttle lsa start-interval hold-interval max-interval
no timers throttle lsa
구문 설명
start-interval
LSA의 첫 번째 발생을 생성할 최소 지연 시간(밀리초)을 지정합니다.
참고
LSA의 첫 번째 인스턴스는 로컬 OSPF 토폴로지가 변경된 즉시 생성됩
니다. 다음 LSA는 start-interval 이후에만 생성됩니다.
유효한 값은 0~600,000밀리초입니다. 기본값은 0밀리초입니다. LSA가 즉시 전
송됩니다.
기본값
명령 모드
hold-interval
LSA를 다시 생성할 최소 지연 시간(밀리초)을 지정합니다. 이 값은 LSA 생성에
대한 이후의 속도 제한 값을 계산하는 데 사용됩니다. 유효한 값은 1~600,000밀
리초입니다. 기본값은 5000밀리초입니다.
max-interval
LSA를 다시 생성할 최대 지연 시간(밀리초)을 지정합니다. 유효한 값은
1~600,000밀리초입니다. 기본값은 5000밀리초입니다.
LSA 제한:
•
start-interval의 경우 기본값은 0밀리초입니다.
•
hold-interval의 경우 기본값은 5000밀리초입니다.
•
max-interval의 경우 기본값은 5000밀리초입니다.
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우터 컨피그레이션
명령 기록
사용 지침
릴리스
9.2(1)
라우팅됨
•
예
—
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
‘동일한 LSA’는 동일한 LSA ID 번호, LSA 유형 및 알리는 라우터 ID가 포함된 LSA 인스턴스로 정
의됩니다. timers lsa arrival 명령의 milliseconds 값을 timers throttle lsa 명령의 hold-interval 값보
다 작거나 같도록 유지하는 것이 좋습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-76
투명
1장
table-map through title 명령
timers throttle lsa
예
다음 예에서는 OSPFv3 LSA 제한(밀리초)을 구성합니다.
ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)# timers throttle lsa 100 4000 5000
LSA 제한의 경우 다음 예에서는 지정된 최대 지연 시간 값이 최소 지연 시간 값보다 작은 경우에
발생하는 자동 수정을 보여 줍니다.
ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)# timers throttle lsa 100 50 50
% OSPFv3: Throttle timers corrected to: 100 100 100
ciscoasa(config-rtr)# show running-config ipv6
ipv6 router ospf 10
timers throttle lsa 100 100 100
다음 예에서는 OSPFv3 SPF 제한(밀리초)을 구성합니다.
ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)# timers throttle spf 6000 12000 14000
SPF 제한의 경우 다음 예에서는 지정된 최대 지연 시간 값이 최소 지연 시간 값보다 작은 경우에 발
생하는 자동 수정을 보여 줍니다.
ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)# timers throttle spf 100 50 50
% OSPFv3: Throttle timers corrected to: 100 100 100
ciscoasa(config-rtr)# show running-config ipv6
ipv6 router ospf 10
timers throttle spf 100 100 100
관련 명령
명령
ipv6 router ospf
설명
IPv6 라우터 컨피그레이션 모드를 시작합니다.
show ipv6 ospf
OSPFv3 라우팅 프로세스에 대한 일반 정보를 표시합니다.
timers
lsa-group-pacing
OSPFv3 LSA(링크 상태 알림)를 수집하고 새로 고치거나, 체크섬하거나,
기간 경과로 설정할 간격을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-77
1장
table-map through title 명령
title
title
WebVPN 사용자가 보안 어플라이언스에 연결할 때 표시되는 WebVPN 페이지의 제목을 사용자 지
정하려면 webvpn customization 모드에서 title 명령을 사용합니다.
title {text | style} value
[no] title {text | style} value
컨피그레이션에서 명령을 제거하고 값이 상속되도록 하려면 이 명령의 no 형식을 사용합니다.
구문 설명
기본값
text
텍스트를 변경하도록 지정합니다.
style
스타일을 변경하도록 지정합니다.
value
표시할 실제 텍스트(최대 256자) 또는 CSS(Cascading Style Sheet) 매개변수(최대 256자)
입니다.
기본 제목 텍스트는 “WebVPN Service”입니다.
기본 제목 스타일은 다음과 같습니다.
background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger;
vertical-align:middle;text-align:left;font-weight:bold
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
webvpn customization
명령 기록
사용 지침
릴리스
7.1(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
제목을 없애려면 value 인수 없이 title text 명령을 사용합니다.
style 옵션은 유효한 모든 CSS(Cascading Style Sheet) 매개변수로 표현됩니다. 이러한 매개변수에
대한 설명은 이 문서의 범위를 벗어납니다. CSS 매개변수에 대한 자세한 내용은
W3C(World Wide Web Consortium) 웹사이트(www.w3.org)에서 CSS 사양을 참조하십시오. CSS 2.1
사양의 부록 F(www.w3.org/TR/CSS21/propidx.html)에는 CSS 매개변수 목록이 포함되어 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-78
1장
table-map through title 명령
title
다음은 WebVPN 페이지에서 수행할 수 있는 가장 일반적인 변경(페이지 색상 변경) 작업에 대한 몇
가지 팁입니다.
참고
예
•
쉼표로 구분된 RGB 값, HTML 색상 값 또는 색상 이름(HTML에서 인식되는 경우)을 사용할 수
있습니다.
•
RGB 형식은 0,0,0이며, 각 색상(빨간색, 녹색, 파란색)의 십진수 범위는 0~255입니다. 여기서
쉼표로 구분된 항목은 다른 색상과 조합할 각 색상의 강도를 나타냅니다.
•
HTML 형식은 16진수 형식의 6자리 숫자인 #000000입니다. 여기서 첫 번째와 두 번째는 빨간
색, 세 번째와 네 번째는 녹색, 다섯 번째와 여섯 번째는 파란색을 나타냅니다.
WebVPN 페이지를 쉽게 사용자 지정하려면 색상 견본 및 미리보기 기능 등 스타일 요소 컨피그레
이션에 대한 편리한 기능이 있는 ASDM을 사용하는 것이 좋습니다.
다음 예에서는 “Cisco WebVPN Service”라는 텍스트로 제목을 사용자 지정합니다.
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# customization cisco
ciscoasa(config-webvpn-custom)# title text Cisco WebVPN Service
관련 명령
명령
logo
page style
설명
WebVPN 페이지의 로고를 사용자 지정합니다.
CSS(Cascading Style Sheet) 매개변수를 사용하여 WebVPN 페이지를 사용자 지정
합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-79
1장
title
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
1-80
table-map through title 명령
2
장
tls-proxy through type echo 명령
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-1
2장
tls-proxy through type echo 명령
tls-proxy
tls-proxy
TLS 컨피그레이션 모드에서 TLS 프록시 인스턴스를 구성하거나 최대 세션을 설정하려면 전역 컨
피그레이션 모드에서 tls-proxy 명령을 사용합니다. 컨피그레이션을 제거하려면 이 명령의 no 형
식을 사용합니다.
tls-proxy [maximum-sessions max_sessions | proxy_name] [noconfirm]
no tls-proxy [maximum-sessions max_sessions | proxy_name] [noconfirm]
구문 설명
max_sessions max_sessions 플랫폼에서 지원할 최대 TLS 프록시 세션 수를 지정합니다.
noconfirm
확인 없이 tls-proxy 명령을 실행합니다.
proxy_name
TLS 프록시 인스턴스의 이름을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
8.0(2)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
TLS 프록시 컨피그레이션 모드를 시작하여 TLS 프록시 인스턴스를 만들거나 플랫폼에서 지원되
는 최대 세션을 설정하려면 tls-proxy 명령을 사용합니다.
예
다음 예에서는 TLS 프록시 인스턴스를 만드는 방법을 보여 줍니다.
ciscoasa(config)# tls-proxy my_proxy
ciscoasa(config-tlsp)# server trust-point ccm_proxy
ciscoasa(config-tlsp)# client ldc issuer ldc_server
ciscoasa(config-tlsp)# client ldc keypair phone_common
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-2
2장
tls-proxy through type echo 명령
tls-proxy
관련 명령
명령
client
설명
암호 그룹을 정의하고 로컬 동적 인증서 발급자 또는 키 쌍을 설정합니다.
ctl-provider
CTL 공급자 인스턴스를 정의하고 공급자 컨피그레이션 모드를 시작합니다.
server trust-point
TLS 핸드셰이크 중에 제공할 프록시 신뢰 지점 인증서를 지정합니다.
show tls-proxy
TLS 프록시를 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-3
2장
tls-proxy through type echo 명령
tos
tos
SLA 작업 요청 패킷의 IP 헤더에서 서비스 바이트의 유형을 정의하려면 SLA 모니터 프로토콜 컨피
그레이션 모드에서 tos 명령을 사용합니다. 기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
tos number
no tos
구문 설명
number
기본값
기본 서비스 유형 값은 0입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
IP 헤더에서 사용할 서비스 유형 값입니다. 유효한 값은 0~255입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
SLA 모니터 프로토콜 컨피그
레이션
명령 기록
릴리스
7.2(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
이 필드에는 지연, 우선 순위, 신뢰성 등의 정보가 포함됩니다. 네트워크의 다른 라우터가 정책 라
우팅 및 기능(예: Committed Access Rate)에 이를 사용할 수 있습니다.
예
다음 예에서는 ICMP 에코 요청/응답 시간 프로브 작업을 사용하는 ID가 123인 SLA 작업을 구성합
니다. 에코 요청 패킷의 페이로드 크기를 48바이트로 설정하고, SLA 작업 중에 전송되는 에코 요
청 수를 5로 설정하며, 서비스 바이트 유형을 80으로 설정합니다.
ciscoasa(config)# sla monitor 123
ciscoasa(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
ciscoasa(config-sla-monitor-echo)# num-packets 5
ciscoasa(config-sla-monitor-echo)# request-data-size 48
ciscoasa(config-sla-monitor-echo)# tos 80
ciscoasa(config-sla-monitor-echo)# timeout 4000
ciscoasa(config-sla-monitor-echo)# threshold 2500
ciscoasa(config-sla-monitor-echo)# frequency 10
ciscoasa(config)# sla monitor schedule 123 life forever start-time now
ciscoasa(config)# track 1 rtr 123 reachability
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-4
2장
tls-proxy through type echo 명령
tos
관련 명령
명령
num-packets
설명
SLA 작업 중에 전송할 요청 패킷 수를 지정합니다.
request-data-size
요청 패킷 페이로드의 크기를 지정합니다.
sla monitor
SLA 모니터링 작업을 정의합니다.
type echo
SLA 작업을 에코 응답 시간 프로브 작업으로 구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-5
2장
tls-proxy through type echo 명령
traceroute
traceroute
패킷이 대상에 도달하는 경로를 확인하려면 traceroute 명령을 사용합니다.
traceroute destination_ip | hostname [source source_ip | source-interface] [numeric] [timeout
timeout_value] [probe probe_num] [ttl min_ttl max_ttl] [port port_value] [use-icmp]
구문 설명
destination_ip
traceroute의 대상 IP 주소를 지정합니다.
hostname
경로를 추적해야 하는 호스트의 호스트 이름입니다. 호스트 이름을 지정하는
경우 name 명령으로 정의하거나 traceroute를 사용하여 호스트 이름을 IP 주소
로 확인하도록 DNS 서버를 구성합니다. www.example.com 과 같은 DNS 도메
인 이름을 지원합니다.
max-ttl
사용할 수 있는 최대 TTL 값입니다. 기본값은 30입니다. 이 명령은 traceroute
패킷이 대상에 도달하거나 값에 도달한 경우 종료됩니다.
min_ttl
첫 번째 프로브의 TTL 값입니다. 기본값은 1이지만 더 높은 값으로 설정하여
알려진 홉 표시를 무시할 수 있습니다.
numeric
중간 게이트웨이의 IP 주소만 인쇄하도록 출력을 지정합니다. 이 키워드를 지
정하지 않으면 traceroute에서 추적 중에 도달한 게이트웨이의 호스트 이름을
조회하려고 시도합니다.
port
port_value
UDP(사용자 데이터그램 프로토콜) 프로브 메시지에서 사용하는 목적지 포트
입니다. 기본값은 33434입니다.
probe
probe_num
각 TTL 수준에서 전송할 프로브 수입니다. 기본값은 3개입니다.
source
추적 패킷의 소스로 사용되는 IP 주소 또는 인터페이스를 지정합니다.
source_interface
패킷 추적의 소스 인터페이스를 지정합니다. 지정하면 소스 인터페이스의 IP
주소가 사용됩니다.
source_ip
패킷 추적의 소스 IP 주소를 지정합니다. 이 IP 주소는 인터페이스 중 하나의
IP 주소여야 합니다. 투명 모드에서는 ASA의 관리 IP 주소여야 합니다.
timeout
시간 제한 값을 사용하도록 지정합니다.
timeout_value
연결 시간이 초과되기 전에 응답을 대기할 기간(초)을 지정합니다. 기본값은
3초입니다.
ttl
프로브에서 사용할 TTL 값의 범위를 지정하는 키워드입니다.
use-icmp
UDP 프로브 패킷 대신 ICMP 프로브 패킷을 사용하도록 지정합니다.
기본값
이 명령에는 기본 설정이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
라우팅됨
•
예
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-6
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
2장
tls-proxy through type echo 명령
traceroute
명령 기록
사용 지침
예
릴리스
7.2(1)
수정 사항
이 명령이 도입되었습니다.
traceroute 명령은 전송된 각 프로브의 결과를 인쇄합니다. 출력의 모든 줄은 증가하는 순으로 TTL
값에 해당합니다. 다음은 traceroute 명령에서 인쇄되는 출력 기호입니다.
출력 기호
*
설명
시간 제한 이내에 프로브에 대한 응답을 받지 못했습니다.
nn msec
각 노드에 대해 지정된 프로브 수의 왕복 시간(밀리초)입니다.
!N.
ICMP 네트워크에 연결할 수 없습니다.
!H
ICMP 호스트에 연결할 수 없습니다.
!P
ICMP 프로토콜에 연결할 수 없습니다.
!A
관리자가 ICMP를 금지했습니다.
?
알 수 없는 ICMP 오류입니다.
다음 예에서는 대상 IP 주소가 지정된 경우 traceroute의 출력 결과를 보여 줍니다.
ciscoasa# traceroute 209.165.200.225
Tracing the route to 209.165.200.225
1 10.83.194.1 0 msec 10 msec 0 msec
2 10.83.193.65 0 msec 0 msec 0 msec
3 10.88.193.101 0 msec 10 msec 0 msec
4 10.88.193.97 0 msec 0 msec 10 msec
5 10.88.239.9 0 msec 10 msec 0 msec
6 10.88.238.65 10 msec 10 msec 0 msec
7 172.16.7.221 70 msec 70 msec 80 msec
8 209.165.200.225 70 msec 70 msec 70 msec
관련 명령
명령
capture
설명
추적 패킷을 포함한 패킷 정보를 캡처합니다.
show capture
옵션을 지정하지 않은 경우의 캡처 컨피그레이션을 표시합니다.
packet-tracer
패킷 추적 기능을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-7
2장
tls-proxy through type echo 명령
track rtr
track rtr
SLA 작업의 연결성을 추적하려면 전역 컨피그레이션 모드에서 track rtr 명령을 사용합니다. SLA
추적을 제거하려면 이 명령의 no 형식을 사용합니다.
track track-id rtr sla-id reachabilitity
no track track-id rtr sla-id reachabilitity
구문 설명
reachability
개체의 연결성을 추적하도록 지정합니다.
sla-id
추적 항목에서 사용되는 SLA의 ID입니다.
track-id
추적 항목 개체 ID를 만듭니다. 유효한 값은 1~500입니다.
기본값
SLA 추적은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
track rtr 명령은 추적 항목 개체 ID를 만들고 해당 추적 항목에서 사용하는 SLA를 지정합니다.
각 SLA 작업은 추적 프로세스에서 해석되는 작업 반환 코드 값을 유지 관리합니다. 반환 코드는
OK, Over Threshold 또는 기타 여러 반환 코드일 수 있습니다. 표 2-1에는 이러한 반환 코드에 대한
개체의 연결성 상태가 나와 있습니다.
표 2-1
SLA 추적 반환 코드
추적
반환 코드
추적 상태
연결성
OK 또는 Over Threshold
Up
다른 코드
Down
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-8
2장
tls-proxy through type echo 명령
track rtr
예
다음 예에서는 ID 123을 사용하여 SLA 작업을 구성하고 ID가 1인 추적 작업을 만들어 SLA 연결성
을 추적합니다.
ciscoasa(config)# sla monitor 123
ciscoasa(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
ciscoasa(config-sla-monitor-echo)# timeout 1000
ciscoasa(config-sla-monitor-echo)# frequency 3
ciscoasa(config)# sla monitor schedule 123 life forever start-time now
ciscoasa(config)# track 1 rtr 123 reachability
관련 명령
명령
route
고정 경로를 구성합니다.
설명
sla monitor
SLA 모니터링 작업을 정의합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-9
2장
tls-proxy through type echo 명령
traffic-forward
traffic-forward
데모를 위해 모듈에 대한 트래픽 전달 인터페이스를 활성화하려면 인터페이스 컨피그레이션 모드
에서 traffic-forward 명령을 사용합니다. 트래픽 전달을 비활성화하려면 이 명령의 no 형식을 사
용합니다.
traffic-forward module_type monitor-only
no traffic-forward module_type monitor-only
구문 설명
module_type
monitor-only
모듈의 유형입니다. 지원되는 모듈은 다음과 같습니다.
•
sfr - ASA FirePOWER 모듈
•
cxsc - ASA CX 모듈
모듈을 모니터 전용 모드로 설정합니다. 모니터 전용 모드에서는 모듈에
서 데모용으로 트래픽을 처리할 수 있지만 그런 다음 트래픽을 삭제합니
다. 트래픽 전달 인터페이스 또는 장치를 프로덕션에 사용할 수 없습니다.
명령 기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 기록
사용 지침
명령 모드
라우팅됨
인터페이스 컨피그레이션
—
•
예
릴리스
9.1(2)
이 명령이 도입되었습니다.
9.2(1)
sfr 키워드가 추가되었습니다.
단일
•
예
상황
시스템
—
—
수정 사항
ASA를 데모용으로 사용하는 경우에만 이 명령을 사용합니다. 인터페이스의 모든 트래픽이 삭제
됩니다. 장치가 투명 모드에 있어야 하기 때문에 상자의 모든 트래픽이 효과적으로 삭제됩니다. 프
로덕션 환경의 ASA에서는 이 명령을 사용할 수 없습니다.
팁
모듈 트래픽에 대해, 모듈에서 트래픽을 검사하지만 작업을 수행하지는 않는 모니터 전용 모드
("수동" 모드)에서 프로덕션 ASA를 구성하려면 서비스 정책의 트래픽 리디렉션 명령에서
monitor-only 키워드를 사용합니다. 테스트 및 데모용인 경우에도 traffic-forward 명령을 사용하
는 것보다 monitor-only redirection 명령을 사용하는 것이 좋습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-10
투명
2장
tls-proxy through type echo 명령
traffic-forward
트래픽 전달 인터페이스를 구성하면 수신된 모든 트래픽이 ASA의 처리 없이 모듈로 직접 전달됩
니다. 그런 다음 모듈에서 트래픽을 검사하고, 정책을 결정하고, 이벤트를 생성하여 인라인 모드에
서 작동한 경우 트래픽에 수행된 작업을 보여 줍니다. 모듈이 트래픽 사본에서 작동하지만 ASA는
ASA 또는 모듈의 정책 결정에 상관없이 트래픽을 즉시 삭제합니다.
트래픽 전달 인터페이스 컨피그레이션에는 다음과 같은 제한 사항이 있습니다.
•
ASA에서 모니터링 전용 모드와 인라인 모드 둘 다를 동시에 구성할 수는 없습니다. 한 가지 유
형의 보안 정책만 허용됩니다.
•
ASA가 투명 모드여야 합니다.
•
하나의 인터페이스만 트래픽 전달 인터페이스로 구성할 수 있습니다.
•
트래픽 전달 인터페이스는 VLAN 또는 BVI가 아니라 물리적 인터페이스입니다. 물리적 인터
페이스에는 VLAN을 연결할 수 없습니다.
•
트래픽 전달 인터페이스는 ASA 트래픽에 사용할 수 없습니다. 인터페이스 이름을 지정하거나
장애 조치 또는 관리 전용을 포함하여 ASA 기능에 대해 구성할 수 없습니다.
ASA CX 모듈 에는 다음과 같은 추가 요구 사항이 있습니다.
•
다음 ASA CX 기능은 모니터 전용 모드에서 지원되지 않습니다.
– 정책 거부
– 활성 인증
– 암호 해독 정책
예
•
ASA CX는 모니터 전용 모드에서 패킷 버퍼링을 수행하지 않으며, 최상의 결과를 기준으로 이
벤트가 생성됩니다. 예를 들어 패킷 경계에 걸친 긴 URL이 있는 이벤트와 같은 일부 이벤트는
버퍼링 부족의 영향을 받을 수 있습니다.
•
ASA 정책과 ASA CX 모두 일치하는 모드가 있도록 구성해야 합니다(둘 다 모니터 전용 모드).
다음 예에서는 GigabitEthernet 0/5를 트래픽 전용 인터페이스로 만듭니다.
interface gigabitethernet 0/5
no nameif
traffic-forward cxsc monitor-only
no shutdown
관련 명령
명령
interface
설명
인터페이스 컨피그레이션 모드를 시작합니다.
cxsc
ASA CX 모듈로 트래픽을 리디렉션하는 서비스 정책 명령입니다.
sfr
ASA FirePOWER 모듈로 트래픽을 리디렉션하는 서비스 정책 명령입니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-11
2장
tls-proxy through type echo 명령
traffic-non-sip
traffic-non-sip
잘 알려진 SIP 신호 처리 포트를 사용하여 비 SIP 트래픽을 허용하려면 매개변수 컨피그레이션 모
드에서 traffic-non-sip 명령을 사용합니다. 매개변수 컨피그레이션 모드는 정책 맵 컨피그레이션
모드에서 액세스할 수 있습니다. 이 기능을 비활성화하려면 이 명령의 no 형식을 사용합니다.
traffic-non-sip
no traffic-non-sip
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
이 명령은 기본적으로 활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
매개변수 컨피그레이션
명령 기록
예
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 SIP 검사 정책 맵에서 잘 알려진 SIP 신호 처리 포트를 사용하여 비 SIP 트래픽을 허
용하는 방법을 보여 줍니다.
ciscoasa(config)# policy-map type inspect sip sip_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# traffic-non-sip
관련 명령
명령
class
설명
정책 맵에서 클래스 맵 이름을 식별합니다.
class-map type
inspect
애플리케이션에 특정한 트래픽과 일치시킬 검사 클래스 맵을 만듭니다.
policy-map
계층 3/4 정책 맵을 만듭니다.
show running-config 모든 현재 정책 맵 컨피그레이션을 표시합니다.
policy-map
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-12
2장
tls-proxy through type echo 명령
transfer-encoding
transfer-encoding
전송 인코딩 유형을 지정하여 HTTP 트래픽을 제한하려면 HTTP 맵 컨피그레이션 모드에서
transfer-encoding 명령을 사용합니다. 이 모드는 http-map 명령을 사용하여 액세스할 수 있습니다.
이 기능을 비활성화하려면 이 명령의 no 형식을 사용합니다.
transfer-encoding type {chunked | compress | deflate | gzip | identity | default} action {allow |
reset | drop} [log]
no transfer-encoding type {chunked | compress | deflate | gzip | identity | default} action {allow
| reset | drop} [log]
구문 설명
action
지정된 전송 인코딩 유형을 사용하는 연결이 감지된 경우 수행할 작업을
지정합니다.
allow
메시지를 허용합니다.
chunked
메시지 본문이 일련의 청크로 전송되는 전송 인코딩 유형을 식별합니다.
compress
메시지 본문이 UNIX 파일 압축을 사용하여 전송되는 전송 인코딩 유형을
식별합니다.
default
트래픽에 구성된 목록에 없는 지원되는 요청 방법이 포함된 경우 ASA에
서 수행하는 기본 작업을 지정합니다.
deflate
메시지 본문이 zlib 형식(RFC 1950) 및 수축 압축(RFC 1951)을 사용하여 전
송되는 전송 인코딩 유형을 식별합니다.
drop
연결을 닫습니다.
gzip
메시지 본문이 GNU zip(RFC 1952)을 사용하여 전송되는 전송 인코딩 유
형을 식별합니다.
identity
메시지 본문에서 전송 인코딩이 수행되지 않는 연결을 식별합니다.
log
(선택 사항) 시스템 로그를 생성합니다.
reset
TCP 재설정 메시지를 클라이언트 및 서버로 전송합니다.
type
HTTP 애플리케이션 검사를 통해 제어할 전송 인코딩 유형을 지정합니다.
기본값
이 명령은 기본적으로 비활성화되어 있습니다. 이 명령을 활성화하고 지원되는 전송 인코딩 유형
을 지정하지 않은 경우 기본 동작은 기록 없이 연결을 허용하는 것입니다. 기본 동작을 변경하려면
default 키워드를 사용하고 다른 기본 동작을 지정합니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
HTTP 맵 컨피그레이션
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-13
2장
tls-proxy through type echo 명령
transfer-encoding
명령 기록
사용 지침
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
transfer-encoding 명령을 활성화한 경우 ASA는 각 지원 및 구성된 전송 인코딩 유형에 대한 HTTP
연결에 지정된 동작을 적용합니다.
ASA는 구성된 목록에 있는 전송 인코딩 유형과 일치하지 않는 모든 트래픽에 default 동작을 적용
합니다. 미리 구성된 default 동작은 기록 없이 연결을 allow하는 것입니다.
예를 들어 미리 구성된 기본 동작이 있는 경우 drop 및 log를 사용하여 하나 이상의 인코딩 유형을
지정하면 ASA는 구성된 인코딩 유형이 포함된 연결을 삭제하고, 각 연결을 기록하며, 지원되는 다
른 인코딩 유형에 대한 모든 연결을 허용합니다.
보다 엄격한 정책을 구성하려면 기본 동작을 drop(또는 reset) 및 log(이벤트를 기록하려는 경우)로
변경합니다. 그런 다음 allow 동작으로 허용되는 각 인코딩 유형을 구성합니다.
적용할 각 설정에 대해 transfer-encoding 명령을 한 번씩 입력합니다. transfer-encoding 명령의 인
스턴스를 하나를 사용하여 기본 동작을 변경하고 또 하나의 인스턴스를 사용하여 각 인코딩 유형
을 구성된 전송 인코딩 유형 목록에 추가합니다.
구성된 애플리케이션 유형 목록에서 애플리케이션 범주를 제거하기 위해 이 명령의 no 형식을 사
용하는 경우 커맨드 라인에서 애플리케이션 범주 키워드 뒤의 문자는 모두 무시됩니다.
예
다음 예에서는 특별히 금지되지 않은 지원되는 모든 애플리케이션 유형을 허용하는 미리 구성된
기본값으로 허용 정책을 제공합니다.
ciscoasa(config)# http-map inbound_http
ciscoasa(config-http-map)# transfer-encoding gzip drop log
ciscoasa(config-http-map)#
이 경우 GNU zip을 사용하는 연결만 삭제되고 이벤트가 기록됩니다.
다음 예에서는 연결을 재설정하고 특별히 허용되지 않은 인코딩 유형에 대한 이벤트를 기록하도
록 기본 동작이 변경된 제한 정책을 제공합니다.
ciscoasa(config)# http-map inbound_http
ciscoasa(config-http-map)# port-misuse default action reset log
ciscoasa(config-http-map)# port-misuse identity allow
ciscoasa(config-http-map)#
이 경우 전송 인코딩을 사용하지 않는 연결만 허용됩니다. 지원되는 다른 인코딩 유형에 대한
HTTP 트래픽을 받은 경우 ASA는 연결을 재설정하고 시스템 로그 항목을 생성합니다.
관련 명령
명령
class-map
설명
보안 작업을 적용할 트래픽 클래스를 정의합니다.
debug appfw
향상된 HTTP 검사와 연결된 트래픽에 대한 구체적인 정보를 표시합니다.
http-map
향상된 HTTP 검사 컨피그레이션에 대한 HTTP 맵을 정의합니다.
inspect http
애플리케이션 검사에 사용할 특정 HTTP 맵을 적용합니다.
policy-map
클래스 맵을 특정 보안 작업과 연계시킵니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-14
2장
tls-proxy through type echo 명령
trustpoint(config-mdm-proxy)
trustpoint(config-mdm-proxy)
MDM 클라이언트 대신 ISE MDM 서버에 자체적으로 인증하기 위해 ASA에서 사용할 인증서를 식
별하는 신뢰 지점의 이름을 지정하려면 config-mdm-proxy 모드에서 trustpoint 명령을 사용합니다.
신뢰 지점 사양을 제거하려면 이 명령의 no 형식을 사용합니다.
trustpoint trustpoint-name
no trustpoint trustpoint-name
구문 설명
trustpoint-name
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
사용할 신뢰 지점의 이름을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
config-mdm-proxy
명령 기록
릴리스
9.3(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
신뢰 지점은 검증 테스트 없이 유효한 것으로 간주될 수 있는 CA 발급 인증서, 특히 인증 경로에서
첫 번째 공개 키를 제공하는 데 사용되는 공개 키 인증서를 기반으로 하는 인증 기관 ID를 나타냅
니다.
예
다음 예에서는 config-mdm-proxy 모드를 시작하고 MDM 클라이언트 대신 ISE MDM 서버에 ASA
를 인증하는 인증서를 식별하는 신뢰 지점의 이름을 지정합니다.
ciscoasa(config)# mdm-proxy
ciscoasa(config-mdm-proxy)# trustpoint mytrustpoint
관련 명령
명령
crypto ca trustpoint
설명
신뢰 지점 정보를 관리합니다.
mdm-proxy
MDM 프록시 서비스를 구성합니다.
show running-config
mdm-proxy
현재 MDM 서비스 컨피그레이션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-15
2장
tls-proxy through type echo 명령
trustpoint(SSO 서버)
trustpoint(SSO 서버)
SAML POST 유형 SSO 서버로 전송할 인증서를 식별하는 신뢰 지점의 이름을 지정하려면
config-webvpn-sso-saml 모드에서 trustpoint 명령을 사용합니다. 신뢰 지점 사양을 제거하려면 이
명령의 no 형식을 사용합니다.
trustpoint trustpoint-name
no trustpoint trustpoint-name
구문 설명
trustpoint-name
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
사용할 신뢰 지점의 이름을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
config webvpn sso saml
라우팅됨
•
예
투명
—
단일
•
예
상황
—
시스템
—
명령 기록
릴리스
8.0(2)
사용 지침
SSO(WebVPN에만 제공) 지원을 통해 사용자가 사용자 이름 및 비밀번호를 단 한 번만 입력하여 여
러 서버에서 다양한 보안 서비스에 액세스할 수 있습니다. ASA는 현재 SAML POST 유형 SSO 서
버 및 SiteMinder 유형 SSO 서버를 지원합니다.
수정 사항
이 명령이 도입되었습니다.
이 명령은 SAML 유형 SSO 서버에만 적용됩니다.
신뢰 지점은 검증 테스트 없이 유효한 것으로 간주될 수 있는 CA 발급 인증서, 특히 인증 경로에서
첫 번째 공개 키를 제공하는 데 사용되는 공개 키 인증서를 기반으로 하는 인증 기관 ID를 나타냅
니다.
예
다음 예에서는 config-webvpn-sso-saml 모드를 시작하고 SAML POST 유형 SSO 서버로 전송할 인
증서를 식별하는 신뢰 지점의 이름을 지정합니다.
ciscoasa(config-webvpn)# sso server
ciscoasa(config-webvpn-sso-saml)# trustpoint mytrustpoint
관련 명령
명령
crypto ca trustpoint
show webvpn sso server
sso server
설명
신뢰 지점 정보를 관리합니다.
보안 장치에 구성된 모든 SSO 서버에 대한 운영 통계를 표시합니다.
SSO 서버를 만들고, 이름을 지정하고, 유형을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-16
2장
tls-proxy through type echo 명령
tsig enforced
tsig enforced
TSIG 리소스 레코드를 제공하도록 요구하려면 매개변수 컨피그레이션 모드에서 tsig enforced 명
령을 사용합니다. 이 기능을 비활성화하려면 이 명령의 no 형식을 사용합니다.
tsig enforced action {drop [log] | log}
no tsig enforced [action {drop [log] | log}]
구문 설명
drop
TSIG가 없는 경우 패킷을 삭제합니다.
log
시스템 메시지 로그를 생성합니다.
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
매개변수 컨피그레이션
명령 기록
사용 지침
예
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 DNS 트랜잭션에서 TSIG 존재에 대한 모니터링 및 적용을 활성화합니다.
다음 예에서는 DNS 검사 정책 맵에서 TSIG 적용을 활성화하는 방법을 보여 줍니다.
ciscoasa(config)# policy-map type inspect dns preset_dns_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# tsig enforced action log
관련 명령
명령
class
class-map type
inspect
설명
정책 맵에서 클래스 맵 이름을 식별합니다.
애플리케이션에 특정한 트래픽과 일치시킬 검사 클래스 맵을 만듭니다.
계층 3/4 정책 맵을 만듭니다.
show running-config 모든 현재 정책 맵 컨피그레이션을 표시합니다.
policy-map
policy-map
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-17
2장
tls-proxy through type echo 명령
ttl-evasion-protection
ttl-evasion-protection
TTL 회피 방지를 활성화하려면 tcp-map 컨피그레이션 모드에서 ttl-evasion-protection 명령을 사
용합니다. 이 사양을 제거하려면 이 명령의 no 형식을 사용합니다.
ttl-evasion-protection
no ttl-evasion-protection
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
ASA에서 제공하는 TTL 회피 방지는 기본적으로 활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
tcp-map 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
tcp map 명령은 MPF(Modular Policy Framework) 인프라와 함께 사용됩니다. class-map 명령을 사
용하여 트래픽의 클래스를 정의하고, tcp-map 명령을 사용하여 TCP 검사를 사용자 지정합니다. 새
TCP 맵은 policy-map 명령을 사용하여 적용합니다. TCP 검사는 service-policy 명령을 사용하여 활
성화합니다.
tcp-map 명령을 사용하여 tcp-map 컨피그레이션 모드를 시작할 수 있습니다. tcp-map 컨피그레이
션 모드에서 ttl-evasion-protection 명령을 사용하여 보안 정책을 회피하려는 공격을 방지할 수 있
습니다.
예를 들어 공격자는 TTL이 매우 짧은 정책을 전달하는 패킷을 전송할 수 있습니다. TTL이 0이 되
면 ASA와 엔드포인트 사이의 라우터가 패킷을 삭제합니다. 이때 공격자는 ASA에 재전송으로 보
여 전달되는 TTL이 긴 악성 패킷을 전송할 수 있습니다. 그러나 엔드포인트 호스트에는 이것이 공
격자가 받은 첫 번째 패킷이 됩니다. 이 경우 공격자는 공격을 방지하는 보안 없이 성공할 수 있습
니다. 이 기능을 활성화하면 이러한 공격이 방지됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-18
2장
tls-proxy through type echo 명령
ttl-evasion-protection
예
다음 예에서는 네트워크 10.0.0.0에서 20.0.0.0으로의 흐름에 대해 TTL 회피 방지를 비활성화하는
방법을 보여 줍니다.
ciscoasa(config)# access-list TCP1 extended permit tcp 10.0.0.0 255.0.0.0 20.0.0.0
255.0.0.0
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# no ttl-evasion-protection
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match access-list TCP1
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
관련 명령
명령
class
트래픽 분류에 사용할 클래스 맵을 지정합니다.
설명
policy-map
정책, 즉 트래픽 클래스와 하나 이상의 작업 연계를 구성합니다.
set connection
연결 값을 구성합니다.
tcp-map
TCP 맵을 만들고 tcp-map 컨피그레이션 모드에 대한 액세스를 허용합
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-19
2장
tls-proxy through type echo 명령
tunnel-group
tunnel-group
IPsec 및 WebVPN 터널에 대한 연결별 레코드 데이터베이스를 만들고 관리하려면 전역 컨피그레
이션 모드에서 tunnel-group 명령을 사용합니다. 터널 그룹을 제거하려면 이 명령의 no 형식을 사
용합니다.
tunnel-group name type type
no tunnel-group name
구문 설명
name
터널 그룹 이름을 지정합니다. 원하는 문자열을 선택할 수 있습니다. 이
름이 IP 주소인 경우 일반적으로 피어의 IP 주소입니다.
type
터널 그룹의 유형을 지정합니다.
•
remote-access - 사용자가 IPsec 원격 액세스 또는 WebVPN(포털 또
는 터널 클라이언트)을 사용하여 연결할 수 있습니다.
•
ipsec-l2l - 두 개의 사이트 또는 LAN이 인터넷과 같은 공용 네트워크
를 통해 안전하게 연결할 수 있는 IPsec LAN-to-LAN을 지정합니다.
참고
다음 터널 그룹 유형은 릴리스 8.0(2)에서 사용이 중단되었습
니다.
ipsec-ra - IPsec 원격 액세스
webvpn - WebVPN
ASA는 이러한 유형을 remote-access 유형으로 변환합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
참고
라우팅됨
•
예
참고 참조
단일
•
예
상황
•
예
시스템
—
투명 방화벽 모드에서 사용할 수 있는 tunnel-group 명령은 LAN-to-LAN 터널 그룹을 허용하지만
remote-access 그룹 또는 WebVPN 그룹은 허용하지 않습니다. LAN-to-LAN에 사용할 수 있는 모든
tunnel-group 명령은 투명 방화벽 모드에서도 사용할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-20
투명
2장
tls-proxy through type echo 명령
tunnel-group
명령 기록
사용 지침
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
7.1(1)
webvpn 유형이 추가되었습니다.
8.0(2)
remote-access 유형이 추가되고 ipsec-ra 및 webvpn 유형의 사용이 중단
되었습니다.
8.3(1)
name 인수가 IPv6 주소를 허용하도록 수정되었습니다.
9.0(1)
다중 상황 모드 지원이 추가되었습니다.
SSL VPN 사용자(AnyConnect 및 클라이언트리스)는 다음과 같은 방법을 사용하여 액세스할 터널
그룹을 선택할 수 있습니다.
•
group-url
•
group-alias
•
인증서 맵(인증서를 사용하는 경우)
이 명령 및 하위 명령은 사용자가 webvpn 서비스에 로그인할 때 드롭다운 메뉴를 통해 그룹을 선
택할 수 있게 허용하도록 ASA를 구성합니다. 메뉴에 표시되는 그룹은 ASA에 구성된 실제 연결 프
로파일(터널 그룹)의 별칭 또는 URL입니다.
ASA에는 다음과 같은 기본 터널 그룹이 있습니다.
•
DefaultRAGroup, 기본 IPsec 원격 액세스 터널 그룹
•
DefaultL2LGroup, 기본 IPsec LAN-to-LAN 터널 그룹
•
DefaultWEBVPNGroup, 기본 WebVPN 터널 그룹
이러한 그룹을 변경할 수 있지만 삭제할 수는 없습니다. ASA에서는 터널 협상 중에 식별된 특정
터널 그룹이 없는 경우 이러한 그룹을 사용하여 원격 액세스 및 LAN-to-LAN 터널 그룹에 대한 기
본 터널 매개변수를 구성합니다.
tunnel-group 명령을 입력한 후 다음 명령을 입력하여 특정 터널 그룹에 대한 특정 특성을 구성합
니다. 이러한 명령은 각각 터널 그룹 특성을 구성하는 컨피그레이션 모드를 시작합니다.
•
tunnel-group general-attributes
•
tunnel-group ipsec-attributes
•
tunnel-group webvpn-attributes
•
tunnel-group ppp-attributes
LAN-to-LAN 연결의 경우 ASA는 crypto map에 지정된 피어 주소를 동일한 이름의 터널 그룹과 일
치시켜 연결 터널 그룹을 선택합니다. 따라서 IPv6 피어의 경우 터널 그룹 이름을 피어의 IPv6 주소
로 구성해야 합니다. 짧거나 긴 표기법으로 터널 그룹 이름을 지정할 수 있습니다. CLI는 이름을 가
장 짧은 표기법으로 축약합니다. 예를 들어 다음 터널 그룹 명령을 입력한 경우
ciscoasa(config)# tunnel-group 2001:0db8:0000:0000:0000:0000:1428:57ab type ipsec-l2l
컨피그레이션에 다음과 같이 표시됩니다.
tunnel-group 2001:0db8::1428:57ab type ipsec-l2l
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-21
2장
tls-proxy through type echo 명령
tunnel-group
예
다음 예는 전역 컨피그레이션 모드에서 입력되었습니다. 첫 번째 예에서는 원격 액세스 터널 그룹
을 구성합니다. 그룹 이름은 group1입니다.
ciscoasa(config)# tunnel-group group1 type remote-access
ciscoasa(config)#
다음 예에서는 “group1”이라는 webvpn 터널 그룹을 구성하는 tunnel-group 명령을 보여 줍니다. 이
명령을 전역 컨피그레이션 모드에서 입력합니다.
ciscoasa(config)# tunnel-group group1 type webvpn
ciscoasa(config)#
관련 명령
명령
설명
clear configure tunnel-group 구성된 모든 터널 그룹을 지웁니다.
show running-config
모든 터널 그룹 또는 특정 터널 그룹에 대한 터널 그룹 컨피그레이
tunnel-group
션을 표시합니다.
tunnel-group
일반적인 터널 그룹 특성을 구성하는 config-general 모드를 시작
general-attributes
합니다.
tunnel-group ipsec-attributes IPsec 터널 그룹 특성을 구성하는 config-ipsec 모드를 시작합니다.
tunnel-group ppp-attributes
L2TP 연결을 위한 PPP 설정을 구성하는 config-ppp 모드를 시작합
니다.
tunnel-group
webvpn-attributes
WebVPN 터널 그룹 특성을 구성하는 config-webvpn 모드를 시작
합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-22
2장
tls-proxy through type echo 명령
tunnel-group-list enable
tunnel-group-list enable
tunnel-group group-alias에 정의된 터널 그룹을 활성화하려면 tunnel-group-list enable 명령을 사용
합니다.
tunnel-group-list enable
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
Webvpn 컨피그레이션
라우팅됨
•
예
투명
—
단일
•
예
상황
•
예
시스템
—
사용 지침
이 명령은 클라이언트리스 및 AnyConnect VPN 클라이언트 세션에서 tunnel-group group-alias 및
group-url 명령과 함께 사용됩니다. 터널 그룹 드롭다운이 로그인 페이지에 표시되도록 기능을 활
성화합니다. group-alias는 ASA 관리자가 엔드 유저에게 표시하기 위해 정의한 employees,
engineering, consultants 등의 텍스트 문자열입니다.
명령 기록
릴리스
7.0(1)
예
수정 사항
이 명령이 도입되었습니다.
ciscoasa# configure terminal
ciscoasa(config)# tunnel-group ExampleGroup1 webvpn-att
ciscoasa(config-tunnel-webvpn)# group-alias Group1 enable
ciscoasa(config-tunnel-webvpn)# exit
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# tunnel-group-list enable
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-23
2장
tls-proxy through type echo 명령
tunnel-group-list enable
관련 명령
명령
tunnel-group
설명
VPN 연결 프로파일을 만들거나 VPN 연결 프로파일의 데이터베이스에
액세스합니다.
group-alias
연결 프로파일(터널 그룹)의 별칭을 구성합니다.
group-url
VPN 엔드포인트에서 지정한 URL 또는 IP 주소를 연결 프로파일과 일치
시킵니다.
show running-config
tunnel-group
모든 터널 그룹 또는 특정 터널 그룹에 대한 터널 그룹 컨피그레이션을
표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-24
2장
tls-proxy through type echo 명령
tunnel-group-preference
tunnel-group-preference
엔드포인트에서 지정한 것과 일치하는 그룹 URL이 있는 연결 프로파일로 VPN 환경 설정을 변경
하려면 webvpn 컨피그레이션 모드에서 tunnel-group-preference 명령을 사용합니다. 이 명령을 컨
피그레이션에서 제거하려면 no 형식을 사용합니다.
tunnel-group-preference group-url
no tunnel-group-preference group-url
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
명령 기본값
기본적으로 ASA는 연결 프로파일의 인증서 필드 값을 엔드포인트에서 사용하는 인증서의 필드 값
과 일치시킨 경우 해당 프로파일을 VPN 연결에 할당합니다. 이 명령은 기본 동작을 재정의합니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
config-webvpn
명령 기록
사용 지침
릴리스
8.2(5)/8.4(2)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 연결 프로파일 선택 프로세스 중에 연결 프로파일의 환경 설정을 변경합니다. 많은 이전
ASA 소프트웨어 릴리스에서 사용한 그룹 URL 환경 설정을 따를 수 있습니다. 엔드포인트에서 연
결 프로파일에 없는 그룹 URL을 지정했지만 연결 프로파일과 일치하는 인증서 값을 지정한 경우
ASA는 해당 연결 프로파일을 VPN 세션에 할당합니다.
이 명령은 webvpn 컨피그레이션 모드에서 입력하지만 ASA에서 협상된 모든 클라이언트리스 및
AnyConnect VPN 연결에 대한 연결 프로파일 선택 환경 설정을 변경합니다.
예
다음 예에서는 연결 프로파일 선택 프로세스 중에 연결 프로파일의 환경 설정을 변경합니다.
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# tunnel-group-preference group-url
ciscoasa(config-webvpn)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-25
2장
tls-proxy through type echo 명령
tunnel-group-preference
관련 명령
명령
tunnel-group
설명
VPN 연결 프로파일을 만들거나 VPN 연결 프로파일의 데이터베이스에
액세스합니다.
group-url
VPN 엔드포인트에서 지정한 URL 또는 IP 주소를 연결 프로파일과 일치
시킵니다.
show running-config
tunnel-group
모든 터널 그룹 또는 특정 터널 그룹에 대한 터널 그룹 컨피그레이션을
표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-26
2장
tls-proxy through type echo 명령
tunnel-group general-attributes
tunnel-group general-attributes
general-attribute 컨피그레이션 모드를 시작하려면 전역 컨피그레이션 모드에서 tunnel-group
general-attributes 명령을 사용합니다. 이 모드는 지원되는 모든 터널링 프로토콜에 일반적인 설정
을 구성하는 데 사용됩니다.
모든 일반 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
tunnel-group name general-attributes
no tunnel-group name general-attributes
구문 설명
general-attributes
이 터널 그룹에 대한 특성을 지정합니다.
name
터널 그룹의 이름을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
tunnel-group general-attributes
컨피그레이션
명령 기록
예
릴리스
7.0(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
7.1(1)
다른 터널 그룹 유형의 여러 특성이 일반 터널 그룹 특성 목록으로 마이
그레이션되었으며, tunnel-group general-attributes 모드에 대한 프롬프
트가 변경되었습니다.
9.0(1)
다중 상황 모드 지원이 추가되었습니다.
전역 컨피그레이션 모드에서 입력된 다음 예에서는 LAN-to-LAN 피어의 IP 주소를 사용하여 원격
액세스 연결을 위한 원격 액세스 터널 그룹을 만든 다음, 터널 그룹 일반 특성을 구성할 수 있는
general-attributes 컨피그레이션 모드를 시작합니다. 터널 그룹의 이름은 209.165.200.225입니다.
ciscoasa(config)# tunnel-group 209.165.200.225 type remote-access
ciscoasa(config)# tunnel-group 209.165.200.225 general-attributes
ciscoasa(config-tunnel-general)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-27
2장
tls-proxy through type echo 명령
tunnel-group general-attributes
전역 컨피그레이션 모드에서 입력된 다음 예에서는 IPsec 원격 액세스 연결을 위한 "remotegrp"라
는 터널 그룹을 만든 다음 "remotegrp" 터널 그룹에 대한 일반 특성을 구성할 수 있는 일반 컨피그
레이션 모드를 시작합니다.
ciscoasa(config)# tunnel-group remotegrp type ipsec_ra
ciscoasa(config)# tunnel-group remotegrp general
ciscoasa(config-tunnel-general)
관련 명령
명령
clear configure tunnel-group
설명
전체 터널 그룹 데이터베이스 또는 지정된 터널 그룹을 지웁
니다.
show running-config tunnel-group 지정된 터널 그룹 또는 모든 터널 그룹에 대한 현재 실행 중
인 터널 그룹 컨피그레이션을 표시합니다.
tunnel-group
IPsec 및 WebVPN 터널에 대한 연결별 레코드 데이터베이스
를 만들고 관리합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-28
2장
tls-proxy through type echo 명령
tunnel-group ipsec-attributes
tunnel-group ipsec-attributes
ipsec-attribute 컨피그레이션 모드를 시작하려면 전역 컨피그레이션 모드에서 tunnel-group
ipsec-attributes 명령을 사용합니다. 이 모드는 IPsec 터널링 프로토콜에 특정한 설정을 구성하는
데 사용됩니다.
모든 IPsec 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
tunnel-group name ipsec-attributes
no tunnel-group name ipsec-attributes
구문 설명
ipsec-attributes
이 터널 그룹에 대한 특성을 지정합니다.
name
터널 그룹의 이름을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
예
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
7.1(1)
여러 IPsec 터널 그룹 특성이 일반 터널 그룹 특성 목록으로 마이그레이
션되었으며, tunnel-group ipsec-attributes 모드에 대한 프롬프트가 변경
되었습니다.
9.0(1)
다중 상황 모드 지원이 추가되었습니다.
전역 컨피그레이션 모드에서 입력된 다음 예에서는 IPsec 원격 액세스 연결을 위한 remotegrp라는
터널 그룹을 만든 다음 IPsec 그룹 특성을 지정합니다.
ciscoasa(config)# tunnel-group remotegrp type ipsec_ra
ciscoasa(config)# tunnel-group remotegrp ipsec-attributes
ciscoasa(config-tunnel-ipsec)
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-29
2장
tls-proxy through type echo 명령
tunnel-group ipsec-attributes
관련 명령
명령
clear configure
tunnel-group
설명
전체 터널 그룹 데이터베이스 또는 지정된 터널 그룹을 지웁니다.
show running-config
tunnel-group
지정된 터널 그룹 또는 모든 터널 그룹에 대한 현재 실행 중인 터널 그룹
컨피그레이션을 표시합니다.
tunnel-group
IPsec 및 WebVPN 터널에 대한 연결별 레코드 데이터베이스를 만들고
관리합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-30
2장
tls-proxy through type echo 명령
tunnel-group ppp-attributes
tunnel-group ppp-attributes
ppp-attributes 컨피그레이션 모드를 시작하고 L2TP over IPsec 연결에서 사용하는 PPP 설정을 구성
하려면 전역 컨피그레이션 모드에서 tunnel-group ppp-attributes 명령을 사용합니다.
모든 PPP 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
tunnel-group name ppp-attributes
no tunnel-group name ppp-attributes
구문 설명
name
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
터널 그룹의 이름을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
라우팅됨
•
예
투명
—
단일
•
예
릴리스
7.2(1)
이 명령이 도입되었습니다.
9.0(1)
다중 상황 모드 지원이 추가되었습니다.
상황
•
예
시스템
—
수정 사항
사용 지침
PPP 설정은 원격 클라이언트가 전화 접속 전화 서비스 공용 IP 네트워크를 사용하여 사설 회사 네트
워크 서버와 안전하게 통신할 수 있도록 해주는 VPN 터널링 프로토콜인 L2TP(계층 2 터널링 프로토
콜)에서 사용됩니다. L2TP는 클라이언트/서버 모델을 기반으로 하며 PPP over UDP(포트 1701)를 사
용하여 데이터를 터널링합니다. 모든 터널 그룹 ppp 명령은 PPPoE 터널 그룹 유형에 사용할 수 있습
니다.
예
다음 예에서는 터널 그룹 telecommuters를 만들고 ppp-attributes 컨피그레이션 모드를 시작합니다.
ciscoasa(config)# tunnel-group telecommuters type pppoe
ciscoasa(config)# tunnel-group telecommuters ppp-attributes
ciscoasa(tunnel-group-ppp)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-31
2장
tls-proxy through type echo 명령
tunnel-group ppp-attributes
관련 명령
명령
clear configure tunnel-group
설명
전체 터널 그룹 데이터베이스 또는 지정된 터널 그룹을 지웁
니다.
show running-config tunnel-group 지정된 터널 그룹 또는 모든 터널 그룹에 대한 현재 실행 중
인 터널 그룹 컨피그레이션을 표시합니다.
tunnel-group
IPsec 및 WebVPN 터널에 대한 연결별 레코드 데이터베이스
를 만들고 관리합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-32
2장
tls-proxy through type echo 명령
tunnel-group webvpn-attributes
tunnel-group webvpn-attributes
webvpn-attribute 컨피그레이션 모드를 시작하려면 전역 컨피그레이션 모드에서 tunnel-group
webvpn-attributes 명령을 사용합니다. 이 모드는 WebVPN 터널링에 일반적인 설정을 구성합니다.
모든 WebVPN 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
tunnel-group name webvpn-attributes
no tunnel-group name webvpn-attributes
구문 설명
name
터널 그룹의 이름을 지정합니다.
webvpn-attributes
이 터널 그룹에 대한 WebVPN 특성을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
라우팅됨
•
예
투명
—
단일
•
예
릴리스
7.1(1)
이 명령이 도입되었습니다.
9.0(1)
다중 상황 모드 지원이 추가되었습니다.
상황
•
예
시스템
—
수정 사항
webvpn-attribute 모드에서는 일반 특성 외에 WebVPN 연결에 특정한 다음 특성도 구성할 수 있습
니다.
•
authentication
•
customization
•
dns-group
•
group-alias
•
group-url
•
without-csd
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-33
2장
tls-proxy through type echo 명령
tunnel-group webvpn-attributes
예
전역 컨피그레이션 모드에서 입력된 다음 예에서는 LAN-to-LAN 피어의 IP 주소를 사용하여
WebVPN 연결을 위한 터널 그룹을 만들고, WebVPN 특성을 구성할 수 있는 webvpn 컨피그레이션
모드를 시작합니다. 터널 그룹의 이름은 209.165.200.225입니다.
ciscoasa(config)# tunnel-group 209.165.200.225 type webvpn
ciscoasa(config)# tunnel-group 209.165.200.225 webvpn-attributes
ciscoasa(config-tunnel-webvpn)#
전역 컨피그레이션 모드에서 입력된 다음 예에서는 WebVPN 원격 액세스 연결을 위한 "remotegrp"
라는 터널 그룹을 만든 다음 "remotegrp" 터널 그룹에 대한 WebVPN 특성을 구성할 수 있는 webvpn
컨피그레이션 모드를 시작합니다.
ciscoasa(config)# tunnel-group remotegrp type webvpn
ciscoasa(config)# tunnel-group remotegrp webvpn-attributes
ciscoasa(config-tunnel-webvpn)#
관련 명령
명령
clear configure tunnel-group
설명
전체 터널 그룹 데이터베이스 또는 지정된 터널 그룹을 지웁
니다.
show running-config tunnel-group 지정된 터널 그룹 또는 모든 터널 그룹에 대한 현재 실행 중
인 터널 그룹 컨피그레이션을 표시합니다.
tunnel-group
IPsec 및 WebVPN 터널에 대한 연결별 레코드 데이터베이스
를 만들고 관리합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-34
2장
tls-proxy through type echo 명령
tunnel-group-map
tunnel-group-map
Adaptive Security Appliance에서는 클라이언트 인증서 인증이 포함된 IPsec 연결 요청을 받은 경우
구성된 정책에 따라 해당 연결에 연결 프로파일을 할당합니다.
이 정책에서는 구성된 규칙, 인증서 OU 필드, IKE ID(예: 호스트 이름, IP 주소, 키 ID), 클라이언트
IP 주소 또는 연결 프로파일에 할당할 기본 연결 프로파일을 사용할 수 있습니다. SSL 연결의 경우
Adaptive Security Appliance는 연결 프로파일을 할당하기 위해 구성한 규칙만 사용합니다.
tunnel-group-map 명령은 기존 맵 이름을 연결 프로파일과 연결하여 구성한 규칙을 기반으로 연
결 프로파일을 연결에 할당합니다.
연결 프로파일과 맵 이름의 연결을 해제하려면 이 명령의 no 형식을 사용합니다. 이 명령의 no 형
식은 맵 이름을 삭제하지 않고 연결 프로파일과의 연결만 삭제합니다.
명령 구문은 다음과 같습니다.
tunnel-group-map [mapname] [rule-index] [connection-profile]
no tunnel-group-map [mapname] [rule-index]
참고
구문 설명
기본값
•
다음 명령을 사용하여 인증서 맵 이름을 만듭니다.
crypto ca certificate map [mapname] [rule-index]
•
“터널 그룹”은 “연결 프로파일”의 이전 용어입니다. 따라서 tunnel-group-map 명령을 연결 프
로파일 맵을 생성하는 명령으로 생각하면 됩니다.
mapname
필수. 이 매개변수는 기존 인증서 맵의 이름을 식별합니다.
rule-index
필수. 맵 이름과 연결된 규칙 인덱스를 식별합니다. rule-index 매개변수는
crypto ca certificate map 명령을 사용하여 정의됩니다. 값은 1~65535입니다.
connection-profile
이 인증서 맵 목록의 연결 프로파일 이름을 지정합니다.
tunnel-group-map을 정의하지 않은 경우 ASA는 클라이언트 인증서 인증이 포함된 IPsec 연결 요
청을 받으면 인증서 인증 요청을 다음 정책 중 하나와 순서대로 일치시켜 연결 프로파일을 할당
합니다.
Certificate ou field - 주체 DN(고유 이름)의 OU(조직 컨피그레이션 단위) 필드 값을 기반으로 연결
프로파일을 결정합니다.
IKE identity - Phase1 IKE ID 내용을 기반으로 연결 프로파일을 결정합니다.
peer-ip - 설정된 클라이언트 IP 주소를 기반으로 연결 프로파일을 결정합니다.
Default Connection Profile - 위 세 정책이 일치하지 않는 경우 ASA는 기본 연결 프로파일을 할당
합니다. 기본 프로파일은 DefaultRAGroup입니다. tunnel-group-map default-group 명령을 사용하여
기본 연결 프로파일을 구성할 수도 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-35
2장
tls-proxy through type echo 명령
tunnel-group-map
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
•
예
투명
—
단일
•
예
릴리스
7.0(1)
이 명령이 도입되었습니다.
9.0(1)
다중 상황 모드 지원이 추가되었습니다.
상황
•
예
시스템
—
수정 사항
맵 이름을 연결 프로파일과 연계하려면 먼저 지정한 맵 이름이 이미 존재해야 합니다. crypto ca
certificate map 명령을 사용하여 맵 이름을 만들 수 있습니다. 자세한 내용은 crypto ca certificate
map 명령에 대한 설명서를 참고하십시오.
맵 이름을 연결 프로파일과 연계한 후에는 이전에 설명한 기본 정책 대신 구성한 규칙을 사용하기
위해 tunnel-group-map을 활성화해야 합니다. 이 작업을 수행하려면 전역 컨피그레이션 모드에서
tunnel-group-map enable rules 명령을 실행합니다.
예
다음 예에서는 맵 이름 SalesGroup(규칙 인덱스 10)을 SalesConnectionProfile 연결 프로파일과 연
계시킵니다.
ciscoasa(config)# tunnel-group-map SalesGroup 10 SalesConnectionProfile
ciscoasa(config)#
관련 명령
명령
crypto ca certificate map [map name]
설명
ca certificate map 컨피그레이션 모드를 시작합니다. 이
를 사용하여 인증서 맵 이름을 만들 수 있습니다.
tunnel-group-map enable
설정된 규칙에 따라 인증서 기반 IKE 세션을 활성화합
니다.
tunnel-group-map default-group
기존 터널 그룹 이름을 기본 터널 그룹으로 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-36
2장
tls-proxy through type echo 명령
tunnel-group-map default-group
tunnel-group-map default-group
tunnel-group-map default-group 명령은 구성된 다른 방법을 사용하여 이름을 확인할 수 없는 경
우에 사용할 기본 터널 그룹을 지정합니다.
tunnel-group-map을 제거하려면 이 명령의 no 형식을 사용합니다.
tunnel-group-map [rule-index] default-group tunnel-group-name
no tunnel-group-map
구문 설명
default-group
tunnel-group-name
구성된 다른 방법으로 이름을 확인할 수 없는 경우 기본 터널 그룹을 지정
합니다. tunnel-group name은 이미 존재해야 합니다.
rule index
선택 사항. crypto ca certificate map 명령으로 지정된 매개변수를 참조합
니다. 값은 1~65535입니다.
기본값
tunnel-group-map default-group의 기본값은 DefaultRAGroup입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
라우팅됨
•
예
투명
•
예
단일
•
예
릴리스
7.0(1)
이 명령이 도입되었습니다.
9.0(1)
다중 상황 모드 지원이 추가되었습니다.
상황
•
예
시스템
—
수정 사항
tunnel-group-map 명령은 인증서 기반 IKE 세션이 터널 그룹에 매핑되는 정책 및 규칙을 구성합니
다. crypto ca certificate map 명령을 사용하여 만든 인증서 맵 항목을 터널 그룹과 연결하려면 전
역 컨피그레이션 모드에서 tunnel-group-map 명령을 사용합니다. 각 호출이 고유하고 맵 인덱스
를 두 번 이상 참조하지 않은 경우 이 명령을 여러 번 호출할 수 있습니다.
crypto ca certificate map 명령은 우선순위가 지정된 인증서 매핑 규칙 목록을 유지 관리합니다. 하
나의 맵만 있을 수 있습니다. 그러나 이 맵에 최대 65535개의 규칙이 있을 수 있습니다. 자세한 내
용은 crypto ca certificate map 명령에 대한 설명서를 참고하십시오.
인증서에서 터널 그룹 이름을 가져오는 프로세스에서는 터널 그룹과 연결되지 않은 인증서 맵의
항목(이 명령으로 식별되지 않은 모든 맵 규칙)을 무시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-37
2장
tls-proxy through type echo 명령
tunnel-group-map default-group
예
전역 컨피그레이션 모드에서 입력된 다음 예에서는 구성된 다른 방법으로 이름을 확인할 수 없는
경우 기본 터널 그룹을 지정합니다. 사용할 터널 그룹의 이름은 group1입니다.
ciscoasa(config)# tunnel-group-map default-group group1
ciscoasa(config)#
관련 명령
명령
crypto ca certificate map
설명
crypto ca certificate map 컨피그레이션 모드를 시작합니다.
subject-name (crypto ca
certificate map)
CA 인증서에서 규칙 항목 문자열과 비교할 DN을 식별합니다.
tunnel-group-map enable
인증서 기반 IKE 세션이 터널 그룹에 매핑되는 정책 및 규칙을
구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-38
2장
tls-proxy through type echo 명령
tunnel-group-map enable
tunnel-group-map enable
tunnel-group-map enable 명령은 인증서 기반 IKE 세션이 터널 그룹에 매핑되는 정책 및 규칙을 구
성합니다. 기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
tunnel-group-map [rule-index] enable policy
no tunnel-group-map enable [rule-index]
구문 설명
policy
인증서에서 터널 그룹 이름을 가져올 정책을 지정합니다. Policy는 다음 중
하나일 수 있습니다.
ike-id - 터널 그룹이 규칙 조회를 기반으로 확인되거나 ou에서 가져오지
못한 경우 인증서 기반 IKE 세션이 Phase1 IKE ID의 내용을 기반으로 터
널 그룹에 매핑되도록 지정합니다.
ou - 터널 그룹이 규칙 조회를 기반으로 확인되지 않은 경우 주체 DN(고
유 이름)의 OU(조직 컨피그레이션 단위) 값을 사용하도록 지정합니다.
peer-ip - 터널 그룹이 규칙 조회를 기반으로 확인되거나 ou 또는 ike-id에
서 가져오지 못한 경우 설정된 피어 IP 주소를 사용하도록 지정합니다.
rules - 인증서 기반 IKE 세션이 이 명령에서 구성된 인증서 맵 연결을 기
반으로 터널 그룹에 매핑되도록 지정합니다.
rule index
선택 사항. crypto ca certificate map 명령으로 지정된 매개변수를 참조합
니다. 값은 1~65535입니다.
기본값
tunnel-group-map 명령의 기본값은 enable ou이고 default-group은 DefaultRAGroup으로 설정됩
니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
라우팅됨
•
예
투명
•
예
단일
•
예
릴리스
7.0(1)
이 명령이 도입되었습니다.
9.0(1)
다중 상황 모드 지원이 추가되었습니다.
상황
•
예
시스템
—
수정 사항
crypto ca certificate map 명령은 우선순위가 지정된 인증서 매핑 규칙 목록을 유지 관리합니다. 하
나의 맵만 있을 수 있습니다. 그러나 이 맵에 최대 65535개의 규칙이 있을 수 있습니다. 자세한 내
용은 crypto ca certificate map 명령에 대한 설명서를 참고하십시오.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-39
2장
tls-proxy through type echo 명령
tunnel-group-map enable
예
다음 예에서는 인증서 기반 IKE 세션을 Phase1 IKE ID의 내용을 기반으로 터널 그룹에 매핑합니다.
ciscoasa(config)# tunnel-group-map enable ike-id
ciscoasa(config)#
다음 예에서는 인증서 기반 IKE 세션을 설정된 피어 IP 주소를 기반으로 터널 그룹에 매핑합니다.
ciscoasa(config)# tunnel-group-map enable peer-ip
ciscoasa(config)#
다음 예에서는 주체 DN(고유 이름)의 OU(조직 컨피그레이션 단위)를 기반으로 인증서 기반 IKE
세션을 매핑합니다.
ciscoasa(config)# tunnel-group-map enable ou
ciscoasa(config)#
다음 예에서는 설정된 규칙을 기반으로 인증서 기반 IKE 세션을 매핑합니다.
ciscoasa(config)# tunnel-group-map enable rules
ciscoasa(config)#
관련 명령
명령
crypto ca certificate map
설명
ca certificate map 모드를 시작합니다.
subject-name (crypto ca
certificate map)
CA 인증서에서 규칙 항목 문자열과 비교할 DN을 식별합니다.
tunnel-group-map default-group
기존 터널 그룹 이름을 기본 터널 그룹으로 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-40
2장
tls-proxy through type echo 명령
tunnel-limit
tunnel-limit
ASA에서 활성화할 수 있는 최대 GTP 터널 수를 지정하려면 GTP 맵 컨피그레이션 모드에서 tunnel
limit 명령을 사용합니다. 이 모드는 gtp-map 명령을 사용하여 액세스할 수 있습니다. 터널 제한을
다시 기본값으로 설정하려면 no를 사용합니다.
tunnel-limit max_tunnels
no tunnel-limit max_tunnels
구문 설명
max_tunnels
기본값
터널 제한에 대한 기본값은 500입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다 .
허용되는 최대 터널 수입니다. 범위는 전체 터널 제한에 대해
1~4294967295입니다.
방화벽 모드
보안 상황
다중
명령 모드
GTP 맵 컨피그레이션
명령 기록
사용 지침
예
릴리스
7.0(1)
라우팅됨
•
투명
예
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
이 명령으로 지정된 터널 수에 도달하면 새 요청이 삭제됩니다.
다음 예에서는 GTP 트래픽의 최대 터널 수를 10,000 개로 지정합니다 .
ciscoasa(config)# gtp-map qtp-policy
ciscoasa(config-gtpmap)# tunnel-limit 10000
관련 명령
명령
설명
clear service-policy inspect gtp 전역 GTP 통계를 지웁니다.
debug gtp
GTP 검사에 대한 자세한 정보를 표시합니다.
gtp-map
GTP 맵을 정의하고 GTP 맵 컨피그레이션 모드를 활성화합니다.
inspect gtp
애플리케이션 검사에 사용할 특정 GTP 맵을 적용합니다.
show service-policy inspect gtp GTP 컨피그레이션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-41
2장
tls-proxy through type echo 명령
tx-ring-limit
tx-ring-limit
우선순위 대기열의 깊이를 지정하려면 priority-queue 모드에서 tx-ring-limit 명령을 사용합니다.
이 사양을 제거하려면 이 명령의 no 형식을 사용합니다.
참고
이 명령은 ASA 5580 10기가비트 이더넷 인터페이스에서는 지원되지 않습니다. 10기가비트 이더
넷 인터페이스는 ASA 5585-X의 우선순위 대기열에 지원됩니다. 또한 이 명령은 ASA 5512-X~ASA
5555-X 관리 인터페이스에도 지원되지 않습니다.
이 명령은 ASA 서비스 모듈에서 지원되지 않습니다.
tx-ring-limit number-of-packets
no tx-ring-limit number-of-packets
구문 설명
number-of-packets
기본값
기본 tx-ring-limit은 128개의 패킷입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
혼잡이 해결될 때까지 패킷을 버퍼할 수 있도록 드라이버가 대기열에
다시 추가하기 전에 이더넷 전송 드라이버에서 허용되는 저지연 또는
일반 우선순위 패킷의 최대 수를 지정합니다. tx-ring-limit 값의 범위는
PIX 플랫폼의 경우 3~128개의 패킷이고, ASA 패킷의 경우 3~256개의
패킷입니다.
방화벽 모드
보안 상황
다중
명령 모드
priority-queue
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
ASA는 두 가지 트래픽 클래스, 즉 높은 우선순위에 적용되는 LLQ(저지연 대기열)와 다른 모든 트
래픽에 적용되는 지연 민감 트래픽(예: 음성 및 비디오) 및 최상의 결과(기본값)를 허용합니다. ASA
는 우선순위 트래픽을 인식하여 적절한 QoS(Quality of Service) 정책을 적용합니다. 우선순위 대기
열의 크기와 깊이를 구성하여 트래픽 흐름을 미세 조정할 수 있습니다.
우선순위 대기열을 적용하려면 먼저 priority-queue 명령을 사용하여 인터페이스에 대한 우선순위
대기열을 만들어야 합니다. nameif 명령으로 정의할 수 있는 모든 인터페이스에 하나의
priority-queue 명령을 적용할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-42
2장
tls-proxy through type echo 명령
tx-ring-limit
priority-queue 명령은 프롬프트에 표시된 대로 priority-queue 모드를 시작합니다. priority-queue 모
드에서는 지정된 시점에 전송 대기열에서 허용되는 최대 패킷 수(tx-ring-limit 명령) 및 패킷을 삭
제하기 전에 버퍼할 수 있는 유형(우선순위 또는 최상의 결과)의 패킷 수(queue-limit 명령)를 구성
할 수 있습니다.
참고
인터페이스에 대한 우선순위 대기열을 활성화하려면 priority-queue 명령을 구성해야 합니다.
지정한 tx-ring-limit 및 queue-limit은 높은 우선순위 저지연 대기열과 최상의 결과 대기열 모두에
영향을 줍니다. tx-ring-limit은 혼잡이 해결될 때까지 패킷을 버퍼할 수 있도록 드라이버가 인터페
이스의 대기열에 다시 추가하기 전에 드라이버에서 유형의 패킷 수입니다. 일반적으로 이 두 매개
변수를 조정하여 저지연 트래픽의 흐름을 최적화할 수 있습니다.
대기열은 무한한 크기가 아니기 때문에 가득 차고 오버플로우될 수 있습니다. 대기열이 가득 차면
추가 패킷이 대기열에 추가되기 않고 삭제됩니다. 이는 종단 삭제(tail-drop)입니다. 대기열이 가득
차는 것을 방지하기 위해 queue-limit 명령을 사용하여 대기열 버퍼 크기를 늘릴 수 있습니다.
참고
queue-limit 및 tx-ring-limit 명령에 대한 값 범위의 상한은 런타임 시 동적으로 결정됩니다. 이 제
한을 보려면 커맨드 라인에서 help 또는 ?를 입력합니다. 주요 요소는 대기열을 지원하는 데 필요
한 메모리와 장치에서 사용할 수 있는 메모리입니다. queue-limit 값의 범위는 0~2048개의 패킷입
니다. tx-ring-limit 값의 범위는 PIX 플랫폼의 경우 3~128개의 패킷이고, ASA 패킷의 경우 3~256
개의 패킷입니다.
ASA 모델 5505에서는(이 모델에 한정) 하나의 인터페이스에서 구성한 priority-queue가 다른 모든
인터페이스의 동일한 컨피그레이션을 덮어씁니다. 즉, 마지막으로 적용된 컨피그레이션만 모든 인
터페이스에 존재합니다. 또한 하나의 인터페이스에서 priority-queue를 제거하면 모든 인터페이스
에서 제거됩니다.
이 문제를 해결하려면 하나의 인터페이스에서만 priority-queue 명령을 구성합니다. 다른 인터페
이스에 queue-limit 및/또는 tx-ring-limit 명령에 대한 다른 설정이 필요한 경우 그 중 하나의 인터
페이스에서 모든 queue-limit의 최대값과 모든 tx-ring-limit의 최소값을 사용합니다(CSCsi13132).
예
다음 예에서는 대기열 제한을 2048개의 패킷으로 지정하고, 전송 대기열 제한을 256개의 패킷으로
지정하여 test라는 인터페이스에 대한 우선순위 대기열을 구성합니다.
ciscoasa(config)# priority-queue test
ciscoasa(priority-queue)# queue-limit 2048
ciscoasa(priority-queue)# tx-ring-limit 256
관련 명령
명령
clear configure
priority-queue
priority-queue
queue-limit
설명
명명된 인터페이스의 현재 우선순위 대기열 컨피그레이션을 제거합니다.
인터페이스에서 우선순위 대기열을 구성합니다.
데이터를 삭제하기 전에 우선순위 대기열에 넣을 수 있는 최대 패킷 수를
지정합니다.
명명된 인터페이스에 대한 우선순위 대기열 통계를 표시합니다.
show priority-queue
statistics
show running-config 현재 우선순위 대기열 컨피그레이션을 표시합니다. all 키워드를 지정한
priority-queue
경우 이 명령은 모든 현재 priority-queue, queue-limit 및 tx-ring-limit 명
령 컨피그레이션 값을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-43
2장
tls-proxy through type echo 명령
type echo
type echo
SLA 작업을 에코 응답 시간 프로브 작업으로 구성하려면 SLA 모니터 컨피그레이션 모드에서 type
echo 명령을 사용합니다. SLA 컨피그레이션에서 유형을 제거하려면 이 명령의 no 형식을 사용합
니다.
type echo protocol ipIcmpEcho target interface if-name
no type echoprotocol ipIcmpEcho target interface if-name
구문 설명
interface if-name
nameif 명령에 지정된 대로 에코 요청 패킷을 보내는 데 사용되는 인터
페이스의 이름을 지정합니다. 인터페이스 소스 주소는 에코 요청 패킷
의 소스 주소로 사용됩니다.
protocol
protocol 키워드입니다. 지원되는 값은 에코 작업에 IP/ICMP 에코 요청
을 사용하도록 지정하는 ipIcmpEcho뿐입니다.
target
모니터링할 개체의 IP 주소 또는 호스트 이름입니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
SLA 모니터 컨피그레이션
명령 기록
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
ICMP 패킷의 페이로드 기본 크기는 28바이트이며, 이는 전체 ICMP 패킷 크기를 64바이트로 만듭
니다. request-data-size 명령을 사용하여 페이로드 크기를 변경할 수 있습니다.
예
다음 예에서는 ICMP 에코 요청/응답 시간 프로브 작업을 사용하는 ID가 123인 SLA 작업을 구성합
니다. SLA 연결성을 추적할 ID가 1인 추적 항목을 만듭니다. SLA 작업의 빈도는 10초, 임계값은
2500밀리초, 시간 제한 값은 4000밀리초로 설정됩니다.
ciscoasa(config)# sla monitor 123
ciscoasa(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
ciscoasa(config-sla-monitor-echo)# threshold 2500
ciscoasa(config-sla-monitor-echo)# timeout 4000
ciscoasa(config-sla-monitor-echo)# frequency 10
ciscoasa(config)# sla monitor schedule 123 life forever start-time now
ciscoasa(config)# track 1 rtr 123 reachability
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-44
2장
tls-proxy through type echo 명령
type echo
관련 명령
명령
num-packets
설명
SLA 작업 중에 전송할 요청 패킷 수를 지정합니다.
request-data-size
SLA 작업 요청 패킷에 대한 페이로드 크기를 지정합니다.
sla monitor
SLA 모니터링 작업을 정의합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-45
2장
type echo
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
2-46
tls-proxy through type echo 명령
3
장
uc-ime through username-prompt 명령
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-1
3장
uc-ime through username-prompt 명령
uc-ime
uc-ime
Cisco Intercompany Media Engine 프록시 인스턴스를 생성하려면 전역 컨피그레이션 모드에서
uc-ime 명령을 사용합니다. 프록시 인스턴스를 제거하려면 이 명령의 no 형식을 사용합니다.
uc-ime uc-ime_name
no uc-ime uc-ime_name
구문 설명
uc-ime_name
ASA에 구성된 Cisco Intercompany Media Engine 프록시의 인스턴스 이름
을 지정합니다. name은 64자로 제한됩니다.
하나의 Cisco Intercompany Media Engine 프록시만 ASA에서 구성할 수 있
습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.3(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
Cisco Intercompany Media Engine 프록시를 구성합니다. Cisco Intercompany Media Engine은 VoIP
기술을 통해 사용할 수 있는 고급 기능으로 인터넷을 통한 기업의 온디맨드 상호 연결을 지원합니
다. Cisco Intercompany Media Engine은 P2P(peer-to-peer), 보안 및 SIP 프로토콜을 활용해 기업 간
의 동적 SIP 트렁크를 만들어 여러 엔터프라이즈의 Cisco Unified Communications Manager 클러스
터 간에 B2B(Business-to-Business) 페더레이션을 허용합니다. 엔터프라이즈 컬렉션은 클러스터 내
트렁크로 함께 작동하여 하나의 대규모 기업처럼 보이게 됩니다.
미디어 종단 인스턴스를 Cisco Intercompany Media Engine 프록시에서 지정하려면 먼저 해당 인스
턴스를 만들어야 합니다.
하나의 Cisco Intercompany Media Engine 프록시만 ASA에서 구성할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-2
3장
uc-ime through username-prompt 명령
uc-ime
예
관련 명령
다음 예에서는 uc-ime 명령을 사용하여 Cisco Intercompany Media Engine 프록시를 구성하는 방법
을 보여 줍니다.
ciscoasa(config)# uc-ime
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
local_uc-ime_proxy
media-termination ime-media-term
ucm address 192.168.10.30 trunk-security-mode non-secure
ticket epoch 1 password password1234
fallback monitoring timer 120
fallback hold-down timer 30
명령
fallback
설명
연결 무결성이 저하된 경우 Cisco Intercompany Media Engine이 VoIP
에서 PSTN으로 대체하는 데 사용하는 대체 타이머를 구성합니다.
show uc-ime
fallback-notifications, mapping-service-sessions 및 signaling-sessions에
대한 통계 또는 세부 정보를 표시합니다.
ticket
Cisco Intercompany Media Engine 프록시에 대한 티켓 에포크 및 비밀
번호를 구성합니다.
ucm
Cisco Intercompany Media Engine 프록시에서 연결하는 Cisco UCM을
구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-3
3장
uc-ime through username-prompt 명령
ucm
ucm
Cisco Intercompany Media Engine 프록시에서 연결하는 Cisco UCM(Unified Communication
Manager)을 구성하려면 전역 컨피그레이션 모드에서 ucm 명령을 사용합니다. Cisco
Intercompanuy Media Engine 프록시에 연결된 Cisco UCM을 제거하려면 이 명령의 no 형식을 사용
합니다.
ucm address ip_address trunk-security-mode {nonsecure | secure}
no ucm address ip_address trunk-security-mode {nonsecure | secure}
구문 설명
address
Cisco UCM(Unified Communications Manager)의 IP 주소를 구성할 키워드
입니다.
ip_address
Cisco UCM의 IP 주소를 지정합니다. IPv4 형식으로 IP 주소를 입력합니다.
nonsecure
Cisco UCM 또는 Cisco UCM 클러스터가 비보안 모드로 작동하도록 지정
합니다.
secure
Cisco UCM 또는 Cisco UCM 클러스터가 보안 모드로 작동하도록 지정합
니다.
trunk-security-mode Cisco UCM 또는 Cisco UCM 클러스터의 보안 모드를 구성할 키워드입니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
UC-IME 컨피그레이션
명령 기록
릴리스
8.3(1)
사용 지침
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
엔터프라이즈에서 Cisco UCM 서버를 지정합니다.
Cisco Intercompany Media Engine 프록시에 대해 여러 ucm 명령을 입력할 수 있습니다.
참고
SIP 트렁크가 활성화된 Cisco Intercompany Media Engine이 있는 클러스터에 각 Cisco UCM에 대한
항목을 포함해야 합니다.
Cisco UCM 또는 Cisco UCM 클러스터에 대해 secure를 지정한 경우 이는 Cisco UCM 또는 Cisco
UCM 클러스터가 TLS를 시작함을 나타내므로 구성요소에 대한 TLS 컨피그레이션을 설정해야 합
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-4
3장
uc-ime through username-prompt 명령
ucm
이 작업에서 secure 옵션을 지정하거나, 나중에 엔터프라이즈에 대한 TLS를 구성하는 동안 업데이
트할 수 있습니다.
엔터프라이즈 내 TLS는 ASA에 표시된 대로 Cisco Intercompany Media Engine 트렁크의 보안 상태
를 나타냅니다.
Cisco Intercompany Media Engine 트렁크에 대한 전송 보안이 Cisco UCM에서 변경된 경우 Adaptive
Security Appliance에서도 변경되어야 합니다. 불일치할 경우 호출에 실패합니다. Adaptive Security
Appliance는 비보안 IME 트렁크를 통한 SRTP를 지원하지 않습니다. Adaptive Security Appliance는
SRTP가 보안 트렁크를 통해 허용되는 것으로 가정합니다. 따라서 TLS를 사용하는 경우 IME 트렁
크에 대해 SRTP가 허용되는지 확인해야 합니다. ASA는 보안 IME 트렁크 호출에 대해 RTP로의
SRTP 대체를 지원합니다.
프록시는 엔터프라이즈 경계에 있으며, 엔터프라이즈 간에 생성된 SIP 트렁크 간의 SIP 신호 처리
를 검사합니다. 또한 인터넷에서의 TLS 신호 처리를 종료하고 Cisco UCM으로의 TCP 또는 TLS를
시작합니다.
TLS(전송 계층 보안)는 인터넷 등의 네트워크를 통한 통신에 대해 보안을 제공하는 암호화 프로토
콜입니다. TLS는 엔드 투 엔드 전송 계층에서 네트워크 연결 세그먼트를 암호화합니다.
TCP가 내부 네트워크 내에서 허용되는 경우에는 이 작업이 필요하지 않습니다.
로컬 엔터프라이즈 내에서 TLS를 구성하는 주요 단계는 다음과 같습니다.
•
로컬 ASA에서 자체 서명된 인증서에 대한 또 다른 RSA 키 및 신뢰 지점을 만듭니다.
•
로컬 Cisco UCM과 로컬 ASA 간에 인증서를 내보내고 가져옵니다.
•
ASA에서 로컬 Cisco UCM에 대한 신뢰 지점을 만듭니다.
TLS를 통한 인증: ASA가 N개의 엔터프라이즈를 위한 포트 역할을 하려면 Cisco UCM에서 ASA의
인증서 하나를 허용할 수 있어야 합니다. 이렇게 하려면 모든 UC-IME SIP 트렁크를 ASA에서 제공
하는 것과 동일한 주체 이름이 포함된 동일한 SIP 보안 프로파일과 연결하면 됩니다. Cisco UCM은
인증서에서 주체 이름을 추출하여 보안 프로파일에 구성된 이름과 비교하기 때문입니다.
예
다음 예에서는 UCM 프록시에 연결하는 방법을 보여 줍니다.
ciscoasa(config)# uc-ime
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
ciscoasa(config-uc-ime)#
local_uc-ime_proxy
media-termination ime-media-term
ucm address 192.168.10.30 trunk-security-mode non-secure
ticket epoch 1 password password1234
fallback monitoring timer 120
fallback hold-down timer 30
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-5
3장
uc-ime through username-prompt 명령
undebug
undebug
현재 세션에서 디버깅 정보 표시를 비활성화하려면 특권 EXEC 모드에서 undebug 명령을 사용합
니다.
undebug {command | all}
구문 설명
all
모든 디버그 출력을 비활성화합니다.
command
지정된 명령에 대한 디버그를 비활성화합니다. 지원되는 명령에 대한
자세한 내용은 사용 지침을 참고하십시오.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 수정되었습니다. 여기에는 추가 debug 키워드가 포함됩니다.
다음 명령은 undebug 명령과 함께 사용할 수 있습니다. 특정 명령의 디버깅 또는 특정 debug 명령
의 연계된 인수 및 키워드에 대한 자세한 내용은 debug 명령 항목을 참고하십시오.
•
aaa - AAA 정보
•
acl - ACL 정보
•
all - 모든 디버깅
•
appfw - 애플리케이션 방화벽 정보
•
arp - NP 작업을 포함하는 ARP
•
asdm - ASDM 정보
•
auto-update - 자동 업데이트 정보
•
boot-mem - 부트 메모리 계산 및 설정
•
cifs - CIFS 정보
•
cmgr - CMGR 정보
•
context - 상황 정보
•
cplane - CP 정보
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-6
투명
3장
uc-ime through username-prompt 명령
undebug
•
crypto - 암호화 정보
•
ctiqbe - CTIQBE 정보
•
ctl-provider - CTL 공급자 디버깅 정보
•
dap - DAP 정보
•
dcerpc - DCERPC 정보
•
ddns - 동적 DNS 정보
•
dhcpc - DHCP 클라이언트 정보
•
dhcpd - DHCP 서버 정보
•
dhcprelay - DHCP 릴레이 정보
•
disk - 디스크 정보
•
dns - DNS 정보
•
eap - EAP 정보
•
eigrp - EIGRP 프로토콜 정보
•
email - 이메일 정보
•
entity - 엔터티 MIB 정보
•
eou - EAPoUDP 정보
•
esmtp - ESMTP 정보
•
fips - FIPS 140-2 정보
•
fixup - 수정 정보
•
fover - 장애 조치 정보
•
fsm - FSM 정보
•
ftp - FTP 정보
•
generic - 기타 정보
•
gtp - GTP 정보
•
h323 - H323 정보
•
http - HTTP 정보
•
icmp - ICMP 정보
•
igmp - IGMP(Internet Group Management Protocol)
•
ils - LDAP 정보
•
im - IM 검사 정보
•
imagemgr - 이미지 관리자 정보
•
inspect - 디버깅 검사 정보
•
integrityfw - 무결성 방화벽 정보
•
ip - IP 정보
•
ipsec-over-tcp - IPsec over TCP 정보
•
ipsec-pass-thru - ipsec-pass-thru 검사 정보
•
ipv6 - IPv6 정보
•
iua-proxy - IUA 프록시 정보
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-7
3장
undebug
•
kerberos - KERBEROS 정보
•
l2tp - L2TP 정보
•
ldap - LDAP 정보
•
mfib - 멀티캐스트 전달 정보 데이터베이스
•
mgcp - MGCP 정보
•
module-boot - 서비스 모듈 부트 정보
•
mrib - 멀티캐스트 라우팅 정보 데이터베이스
•
nac-framework - NAC-FRAMEWORK 정보
•
netbios-inspect - NETBIOS 검사 정보
•
npshim - NPSHIM 정보
•
ntdomain - NT 도메인 정보
•
ntp - NTP 정보
•
ospf - OSPF 정보
•
p2p - P2P 검사 정보
•
parser - 파서 정보
•
pim - 프로토콜 독립 멀티캐스트
•
pix - PIX 정보
•
ppp - PPP 정보
•
pppoe - PPPoE 정보
•
pptp - PPTP 정보
•
radius - RADIUS 정보
•
redundant-interface - 예비 인터페이스 정보
•
rip - RIP 정보
•
rtp - RTP 정보
•
rtsp - RTSP 정보
•
sdi - SDI 정보
•
sequence - 시퀀스 번호 추가
•
session-command - 세션 명령 정보
•
sip - SIP 정보
•
skinny - Skinny 정보
•
sla - IP SLA 모니터 디버그
•
smtp-client - 이메일 시스템 로그 메시지
•
splitdns - 스플릿 DNS 정보
•
sqlnet - SQLNET 정보
•
ssh - SSH 정보
•
sunrpc - SUNRPC 정보
•
tacacs - TACACS 정보
•
tcp - WebVPN용 TCP
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-8
uc-ime through username-prompt 명령
3장
uc-ime through username-prompt 명령
undebug
•
tcp-map - TCP 맵 정보
•
timestamps - 타임스탬프 추가
•
track - 고정 경로 추적
•
vlan-mapping - VLAN 매핑 정보
•
vpn-sessiondb - VPN 세션 데이터베이스 정보
•
vpnlb - VPN 부하 균형 정보
•
wccp - WCCP 정보
•
webvpn - WebVPN 정보
•
xdmcp - XDMCP 정보
•
xml - XML 파서 정보
디버깅 출력은 CPU 프로세스에서 높은 우선순위가 할당되기 때문에 시스템을 사용할 수 없게 만
들 수 있습니다. 따라서 debug 명령은 특정 문제를 해결하거나 Cisco TAC를 통해 세션 문제를 해결
하는 동안에만 사용해야 합니다. 또한 하위 네트워크 트래픽 기간 동안 사용자 수가 적은 경우에
debug 명령을 사용하는 것이 가장 좋습니다. 이러한 기간 동안 디버깅하면 debug 명령 처리 오버
헤드 증가가 시스템 사용에 영향을 줄 가능성이 감소합니다.
예
다음 예에서는 모든 디버깅 출력을 비활성화합니다.
ciscoasa(config)# undebug all
관련 명령
명령
debug
설명
선택한 명령에 대한 디버그 정보를 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-9
3장
uc-ime through username-prompt 명령
unix-auth-gid
unix-auth-gid
UNIX 그룹 ID를 설정하려면 group-policy webvpn 컨피그레이션 모드에서 unix-auth-gid 명령을 사
용합니다. 이 명령을 컨피그레이션에서 제거하려면 이 명령의 no 버전을 사용합니다.
unix-auth-gid identifier
no storage-objects
구문 설명
identifier
기본값
기본값은 65534입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
0~4294967294 범위의 정수를 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy webvpn 컨피그레
이션
명령 기록
사용 지침
예
릴리스
8.0(2)
•
예
투명
—
단일
•
예
—
—
이 명령이 도입되었습니다.
문자열은 NetFS(네트워크 파일 시스템) 위치를 지정합니다. SMB 및 FTP 프로토콜만 지원됩니다(
예: smb://(NetFS location) 또는 ftp://(NetFS location)). 이 위치의 이름은 storage-objects 명령에서
사용합니다.
다음 예에서는 UNIX 그룹 ID를 4567로 설정합니다.
명령
unix-auth-uid
설명
UNIX 사용자 ID를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-10
시스템
수정 사항
ciscoasa(config)# group-policy test attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# unix-auth-gid 4567
관련 명령
상황
3장
uc-ime through username-prompt 명령
unix-auth-uid
unix-auth-uid
UNIX 사용자 ID를 설정하려면 group-policy webvpn 컨피그레이션 모드에서 unix-auth-uid 명령을
사용합니다. 이 명령을 컨피그레이션에서 제거하려면 이 명령의 no 버전을 사용합니다.
unix-auth-gid identifier
no storage-objects
구문 설명
identifier
기본값
기본값은 65534입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
0~4294967294 범위의 정수를 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy webvpn 컨피그레
이션
명령 기록
사용 지침
예
릴리스
8.0(2)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
문자열은 NetFS(네트워크 파일 시스템) 위치를 지정합니다. SMB 및 FTP 프로토콜만 지원됩니다(
예: smb://(NetFS location) 또는 ftp://(NetFS location)). 이 위치의 이름은 storage-objects 명령에서
사용합니다.
다음 예에서는 UNIX 사용자 ID를 333으로 설정합니다.
ciscoasa(config)# group-policy test attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# unix-auth-gid 333
관련 명령
명령
unix-auth-gid
설명
UNIX 그룹 ID를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-11
3장
uc-ime through username-prompt 명령
upload-max-size
upload-max-size
업로드할 개체에 허용되는 최대 크기를 지정하려면 group-policy webvpn 컨피그레이션 모드에서
upload-max-size 명령을 사용합니다. 컨피그레이션에서 이 개체를 제거하려면 이 명령의 no 버전
을 사용합니다.
upload-max-size size
no upload-max-size
구문 설명
size
기본값
기본 크기는 2147483647입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
업로드한 개체에 허용되는 최대 크기를 지정합니다. 범위는
0~2147483647입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy webvpn 컨피그레
이션
명령 기록
릴리스
8.0(2)
•
예
투명
—
단일
•
예
수정 사항
이 명령이 도입되었습니다.
사용 지침
크기를 0로 설정하면 개체 업로드가 효과적으로 허용되지 않습니다.
예
다음 예에서는 업로드한 개체의 최대 크기를 1500바이트로 설정합니다.
ciscoasa(config)# group-policy test attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# upload-max-size 1500
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-12
상황
시스템
—
—
3장
uc-ime through username-prompt 명령
upload-max-size
관련 명령
명령
post-max-size
설명
게시할 개체의 최대 크기를 지정합니다.
download-max-size
다운로드할 개체의 최대 크기를 지정합니다.
webvpn
그룹 정책 컨피그레이션 모드 또는 사용자 이름 컨피그레
이션 모드에서 사용합니다. webvpn 모드를 시작하여 그룹
정책 또는 사용자 이름을 적용되는 매개변수를 구성할 수
있습니다.
webvpn
전역 컨피그레이션 모드에서 사용합니다. WebVPN에 대
한 전역 설정을 구성할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-13
3장
uc-ime through username-prompt 명령
uri-non-sip
uri-non-sip
Alert-Info 및 Call-Info 헤더 필드에 있는 비 SIP URI를 식별하려면 매개변수 컨피그레이션 모드에
서 uri-non-sip 명령을 사용합니다. 매개변수 컨피그레이션 모드는 정책 맵 컨피그레이션 모드에서
액세스할 수 있습니다. 이 기능을 비활성화하려면 이 명령의 no 형식을 사용합니다.
uri-non-sip action {mask | log} [log}
no uri-non-sip action {mask | log} [log}
구문 설명
log
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
위반 시 독립형 또는 추가 로그를 지정합니다.
mask 비 SIP URI를 마스킹합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
매개변수 컨피그레이션
명령 기록
예
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 SIP 검사 정책 맵에서 Alert-Info 및 Call-Info 헤더 필드에 있는 비 SIP URI를 식별하
는 방법을 보여 줍니다.
ciscoasa(config)# policy-map type inspect sip sip_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# uri-non-sip action log
관련 명령
명령
class
class-map type
inspect
설명
정책 맵에서 클래스 맵 이름을 식별합니다.
애플리케이션에 특정한 트래픽과 일치시킬 검사 클래스 맵을 만듭니다.
계층 3/4 정책 맵을 만듭니다.
show running-config 모든 현재 정책 맵 컨피그레이션을 표시합니다.
policy-map
policy-map
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-14
3장
uc-ime through username-prompt 명령
url
url
CRL을 검색할 정적 URL 목록을 유지하려면 crl configure 컨피그레이션 모드에서 url 명령을 사용
합니다. crl configure 컨피그레이션 모드는 crypto ca trustpoint 컨피그레이션 모드에서 액세스할 수
있습니다. 기존 URL을 삭제하려면 이 명령의 no 형식을 사용합니다.
url index url
no url index url
구문 설명
index
목록에서 각 URL의 순위를 결정하는 값(1~5)을 지정합니다. ASA는 인
덱스 1의 URL을 가장 먼저 시도합니다.
url
CRL을 검색할 URL을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
crl configure 컨피그레이션
명령 기록
릴리스
7.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
기존 URL을 덮어쓸 수 없습니다. 기존 URL을 바꾸려면 먼저 이 명령의 no 형식을 사용하여 삭제
합니다.
예
다음 예에서는 ca-crl 컨피그레이션 모드를 시작하고 CRL 검색을 위한 URL 목록을 만들고 유지할
인덱스 3을 설정한 다음 CRL을 검색할 URL https://example.com 을 구성합니다.
ciscoasa(configure)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# crl configure
ciscoasa(ca-crl)# url 3 https://example.com
ciscoasa(ca-crl)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-15
3장
uc-ime through username-prompt 명령
url
관련 명령
명령
crl configure
설명
ca-crl 컨피그레이션 모드를 시작합니다.
crypto ca trustpoint
신뢰 지점 컨피그레이션 모드를 시작합니다.
policy
CRL을 검색할 소스를 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-16
3장
uc-ime through username-prompt 명령
url-block
url-block
필터링 서버의 필터링 결정을 기다리는 동안 웹 서버 응답에 사용되는 URL 버퍼를 관리하려면
url-block 명령을 사용합니다. 컨피그레이션을 제거하려면 이 명령의 no 형식을 사용합니다.
url-block block block_buffer
no url-block block block_buffer
url-block mempool-size memory_pool_size
no url-block mempool-size memory_pool_size
url-block url-size long_url_size
no url-block url-size long_url_size
구문 설명
block block_buffer
필터링 서버의 필터링 결정을 기다리는 동안 웹 서버 응답을 저장할
HTTP 응답 버퍼를 만듭니다. 허용되는 값은 1550바이트 블록 수를 지정
하는 1~128입니다.
mempool-size
memory_pool_size
URL 버퍼 메모리 풀의 최대 크기(KB)를 구성합니다. 허용되는 값은
2KB에서 10240KB 사이의 URL 버퍼 메모리 풀을 지정하는 2~10240입
니다.
url-size long_url_size
버퍼링할 각 긴 URL에 허용되는 최대 URL 크기(KB)를 구성합니다. 최
대 URL 크기를 지정하는 허용되는 값은 Websense의 경우 2, 3 또는
4(2KB, 3KB 또는 4KB를 나타냄)이고, Secure Computing의 경우 2 또는
3(2KB 또는 3KB를 나타냄)입니다.
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-17
3장
uc-ime through username-prompt 명령
url-block
사용 지침
Websense 필터링 서버의 경우 url-block url-size 명령은 최대 4KB의 긴 URL을 허용합니다. Secure
Computing의 경우 url-block url-size 명령은 최대 3KB의 긴 URL을 허용합니다. Websense 및 N2H2
필터링 서비스 모두에 대해 url-block block 명령은 ASA가 URL 필터링 서버의 응답을 기다리는 동
안 웹 클라이언트 요청에 대한 응답으로 웹 서버에서 받은 패킷을 버퍼하도록 합니다. 이는 기본
ASA 동작에 비해 웹 클라이언트의 성능을 향상시킵니다. 즉, 패킷을 삭제하고 연결이 허용된 경우
웹 서버에서 패킷을 재전송하도록 합니다.
url-block block 명령을 사용하는 경우 필터링 서버에서 연결을 허용하면 ASA는 HTTP 응답 버퍼에
서 웹 클라이언트로 블록을 전송하고 버퍼의 블록을 제거합니다. 필터링 서버에서 연결을 거부하는
경우 ASA는 웹 클라이언트로 거부 메시지를 전송하고 HTTP 응답 버퍼에서 블록을 제거합니다.
url-block block 명령을 사용하여 필터링 서버의 필터링 결정을 기다리는 동안 웹 서버 응답을 버
퍼하는 데 사용할 블록 수를 지정할 수 있습니다.
url-block url-size 명령을 url-block mempool-size 명령과 함께 사용하여 필터링할 URL의 최대 길
이 및 URL 버퍼에 할당한 최대 메모리를 지정할 수 있습니다. 이러한 명령을 사용하여 1159바이트
보다 긴(최대 4096바이트) URL을 Websense 또는 Secure-Computing 서버로 전달할 수 있습니다.
url-block url-size 명령은 1159바이트보다 긴 URL을 버퍼에 저장한 다음 Websense 또는
Secure-Computing 서버가 URL을 허용하거나 거부할 수 있도록 TCP 패킷 스트림을 통해 Websense
또는 Secure-Computing 서버로 URL을 전달합니다.
예
다음 예에서는 URL 필터링 서버의 응답을 버퍼하도록 56개의 1550바이트 블록을 할당합니다.
ciscoasa#(config)# url-block block 56
관련 명령
명령
clear url-block block
statistics
설명
블록 버퍼 사용 카운터를 지웁니다.
filter url
URL 필터링 서버로 트래픽을 전송합니다.
show url-block
N2H2 필터 또는 Websense 필터링 서버의 응답을 기다리는 동안 URL을
버퍼하는 데 사용되는 URL 캐시에 대한 정보를 표시합니다.
url-cache
N2H2 또는 Websense 서버에서 응답이 보류 중인 동안 URL 캐싱을 활성
화하고 캐시 크기를 설정합니다.
url-server
filter 명령에서 사용할 N2H2 또는 Websense 서버를 식별합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-18
3장
uc-ime through username-prompt 명령
url-cache
url-cache
Websense 서버에서 받은 URL 응답에 대한 URL 캐싱을 활성화하고 캐시 크기를 설정하려면 전역
컨피그레이션 모드에서 url-cache 명령을 사용합니다. 컨피그레이션을 제거하려면 이 명령의 no
형식을 사용합니다.
url-cache { dst | src_dst } kbytes [ kb ]
no url-cache { dst | src_dst } kbytes [ kb ]
구문 설명
dst
URL 수신 주소를 기반으로 항목을 캐시합니다. 모든 사용자가
Websense 서버에서 동일한 URL 필터링 정책을 공유하는 경우 이 모드
를 선택합니다.
size kbytes
캐시 크기의 값을 1~128KB 내에서 지정합니다.
src_dst
URL 요청을 시작하는 소스 주소와 URL 수신 주소 둘 다를 기반으로 항
목을 캐시합니다. 사용자가 Websense 서버에서 동일한 URL 필터링 정
책을 공유하지 않는 경우 이 모드를 선택합니다.
statistics
캐시 조회 및 적중률 수를 포함하여 추가 URL 캐시 통계를 표시하려면
statistics 옵션을 사용합니다.
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.0(1)
사용 지침
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
url-cache 명령은 URL 서버의 응답을 캐시할 수 있는 컨피그레이션 옵션을 제공합니다.
url-cache 명령을 사용하여 URL 캐싱을 활성화하고, 캐시 크기를 설정하고, 캐시 통계를 표시할 수
있습니다.
참고
N2H2 서버 애플리케이션은 URL 필터링에 이 명령을 지원하지 않습니다.
캐싱은 ASA의 메모리에 URL 액세스 권한을 저장합니다. 호스트가 연결을 요청하면 ASA는
Websense 서버로 요청을 전달하는 대신 먼저 URL 캐시에서 일치하는 액세스 권한을 조회합니다.
no url-cache 명령을 사용하여 캐싱을 비활성화할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-19
3장
uc-ime through username-prompt 명령
url-cache
참고
Websense 서버에서 설정을 변경한 경우 no url-cache 명령을 사용하여 캐시를 비활성화한 다음
url-cache 명령을 사용하여 캐시를 다시 활성화합니다.
URL 캐시를 사용해도 Websense 프로토콜 버전 1에 대한 Websense 계정 관리 로그는 업데이트되지
않습니다. Websense 프로토콜 버전 1을 사용하는 경우 Websense 실행 시 로그가 누적되도록 두면
Websense 계정 관리 정보를 볼 수 있습니다. 보안 요구 사항에 맞는 사용 프로파일을 받은 후
url-cache를 활성화하여 처리량을 늘립니다. 계정 관리 로그는 url-cache 명령을 사용하는 동안
Websense 프로토콜 버전 4 URL 필터링에 대해 업데이트됩니다.
예
다음 예에서는 소스 및 수신 주소를 기반으로 모든 아웃바운드 HTTP 연결을 캐시합니다.
ciscoasa(config)# url-cache src_dst 128
관련 명령
명령
clear url-cache
statistics
설명
컨피그레이션에서 url-cache 명령문을 제거합니다.
filter url
URL 필터링 서버로 트래픽을 전송합니다.
show url-cache
statistics
Websense 필터링 서버에서 받은 URL 응답에 사용되는 URL 캐시에 대
한 정보를 표시합니다.
url-server
filter 명령에서 사용할 Websense 서버를 식별합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-20
3장
uc-ime through username-prompt 명령
url-entry
url-entry
포털 페이지에서 HTTP/HTTPS URL을 입력할 수 있는 기능을 활성화하거나 비활성화하려면 dap
webvpn 컨피그레이션 모드에서 url-entry 명령을 사용합니다.
url-entry enable | disable
enable | disable
파일 서버 또는 공유를 찾아볼 수 있는 기능을 활성화하거나 비활성화합니다.
기본값
기본값 또는 동작은 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
dap webvpn 컨피그레이션
명령 기록
예
릴리스
8.0(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 Finance라는 DAP 레코드에 대한 URL 항목을 활성화하는 방법을 보여 줍니다.
ciscoasa (config) config-dynamic-access-policy-record Finance
ciscoasa(config-dynamic-access-policy-record)# webvpn
ciscoasa(config-dynamic-access-policy-record)# url-entry enable
관련 명령
명령
dynamic-access-policy-record
file-entry
설명
DAP 레코드를 만듭니다.
액세스할 파일 서버 이름을 입력할 수 있는 기능을 활성화
하거나 비활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-21
3장
uc-ime through username-prompt 명령
url-length-limit
url-length-limit
RTSP 메시지에서 허용되는 URL의 최대 길이를 구성하려면 매개변수 컨피그레이션 모드에서
url-length-limit 명령을 사용합니다. 매개변수 컨피그레이션 모드는 정책 맵 컨피그레이션 모드에
서 액세스할 수 있습니다. 이 기능을 비활성화하려면 이 명령의 no 형식을 사용합니다.
url-length-limit length
no url-length-limit length
구문 설명
length
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
URL 길이 제한(바이트)입니다. 범위는 0~6000입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
매개변수 컨피그레이션
명령 기록
예
릴리스
8.0(2)
•
예
투명
•
단일
예
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 RTSP 검사 정책 맵에서 URL 길이 제한을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# policy-map type inspect rtsp rtsp_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# url-length-limit 50
관련 명령
명령
class
class-map type
inspect
설명
정책 맵에서 클래스 맵 이름을 식별합니다.
애플리케이션에 특정한 트래픽과 일치시킬 검사 클래스 맵을 만듭니다.
계층 3/4 정책 맵을 만듭니다.
show running-config 모든 현재 정책 맵 컨피그레이션을 표시합니다.
policy-map
policy-map
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-22
3장
uc-ime through username-prompt 명령
url-list(제거됨)
url-list(제거됨)
더 이상 이 명령을 사용하여 SSL VPN 연결을 통해 액세스할 수 있는 URL 목록을 정의할 수 없습
니다. 이제 import 명령을 사용하여 URL 목록을 정의하는 XML 개체를 가져올 수 있습니다. 자세
한 내용은 import- 및 export-url-list 명령을 참고하십시오.
기본값
기본 URL 목록은 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션 모드
명령 기록
릴리스
7.0(1)
8.0(2)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령의 사용이 중단되었습니다. 이 릴리스의 소프트웨어는 보안 어
플라이언스에서 이러한 목록을 XML 파일로 변환할 수 있도록 기존
URL 목록에 대한 이전 버전과의 호환성만 제공하기 위해 유지됩니다.
이 명령을 사용하여 새 URL 목록을 만들 수는 없습니다.
사용 지침
하나 이상의 URL 목록을 만들려면 전역 컨피그레이션 모드에서 url-list 명령을 사용합니다. 특정
그룹 정책 또는 사용자에 대해 목록의 URL에 대한 액세스를 허용하려면 webvpn 모드에서 url-list
명령과 함께 여기서 만든 listname을 사용합니다.
예
다음 예에서는 www.cisco.com, www.example.com 및 www.example.org 에 대한 액세스를 제공하는
Marketing URLs라는 URL 목록을 만드는 방법을 보여 줍니다. 다음 표에서는 이 설명서의 예에서
각 애플리케이션에 사용하는 값을 제공합니다.
listname
displayname
url
Marketing URLs
Cisco Systems
http://www.cisco.com
Marketing URLs
Example Company, Inc.
http://www.example.com
Marketing URLs
Example Organization
http://www.example.org
ciscoasa(config)# url-list Marketing URLs Cisco Systems http://www.cisco.com
ciscoasa(config)# url-list Marketing URLs Example Company, Inc. http://www.example.com
ciscoasa(config)# url-list Marketing URLs Example Organization http://www.example.org
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-23
3장
uc-ime through username-prompt 명령
url-list(제거됨)
관련 명령
명령
clear configuration url-list
설명
컨피그레이션에서 모든 url-list 명령을 제거합니다.
listname이 포함된 경우 ASA는 해당 목록에 대한 명령만
제거합니다.
show running-configuration url-list 현재 구성된 URL 집합을 표시합니다.
webvpn
그룹 정책 컨피그레이션 모드 또는 사용자 이름 컨피그레
이션 모드에서 사용합니다. webvpn 모드를 시작하여 그룹
정책 또는 사용자 이름을 적용되는 매개변수를 구성할 수
있습니다.
webvpn
전역 컨피그레이션 모드에서 사용합니다. WebVPN에 대
한 전역 설정을 구성할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-24
3장
uc-ime through username-prompt 명령
url-list (group-policy webvpn)
url-list (group-policy webvpn)
특정 사용자 또는 그룹 정책에 WebVPN 서버 및 URL 목록을 적용하려면 group-policy webvpn 컨피
그레이션 모드 또는 username webvpn 컨피그레이션 모드에서 url-list 명령을 사용합니다. url-list
none 명령을 사용하여 만든 null 값을 포함하여 목록을 제거하려면 이 명령의 no 형식을 사용합니
다. no 옵션은 다른 그룹 정책에서 값을 상속하도록 허용합니다. URL 목록을 상속하지 못하도록
하려면 url-list none 명령을 사용합니다. 이 명령을 두 번 사용하면 이전 설정이 재정의됩니다.
url-list {value name | none} [index]
no url-list
구문 설명
index
홈 페이지의 표시 우선 순위를 나타냅니다.
none
URL 목록에 대한 null 값을 설정합니다. 기본 또는 지정된 그룹 정책에
서 목록을 상속하지 못하도록 합니다.
value name
이전에 구성된 URL 목록의 이름을 지정합니다. 이러한 목록을 구성하
려면 전역 컨피그레이션 모드에서 url-list 명령을 사용합니다.
기본값
기본 URL 목록은 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
사용 지침
라우팅됨
투명
단일
상황
시스템
group-policy webvpn 컨피그레
이션
•
예
—
•
예
—
—
username 컨피그레이션
•
예
—
•
예
—
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
이 명령을 두 번 사용하면 이전 설정이 재정의됩니다.
webvpn 모드에서 url-list 명령을 사용하여 사용자 또는 그룹 정책에 대해 WebVPN 홈 페이지에 표
시할 URL 목록을 식별하려면 먼저 XML 개체를 통해 목록을 만들어야 합니다. 전역 컨피그레이션
모드에서 import 명령을 사용하여 URL 목록을 보안 어플라이언스로 다운로드합니다. 그런 다음
url-list 명령을 사용하여 특정 그룹 정책 또는 사용자에게 목록을 적용합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-25
3장
uc-ime through username-prompt 명령
url-list (group-policy webvpn)
예
다음 예에서는 FirstGroup이라는 그룹 정책에 대해 FirstGroupURLs라는 URL 목록을 적용한 후
URL 목록 중 첫 번째 위치에 이 목록을 할당합니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# url-list value FirstGroupURLs 1
관련 명령
명령
clear configure url-list
설명
컨피그레이션에서 모든 url-list 명령을 제거합니다. 목록 이름이 포
함된 경우 ASA는 해당 목록에 대한 명령만 제거합니다.
show running-configuration 현재 구성된 url-list 명령 집합을 표시합니다.
url-list
webvpn
webvpn 모드를 시작할 수 있도록 합니다. 이는 webvpn 컨피그레이
션 모드, group-policy webvpn 컨피그레이션 모드(특정 그룹 정책
에 대한 webvpn 설정 구성) 또는 username webvpn 컨피그레이션
모드(특정 사용자에 대한 webvpn 설정 구성)일 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-26
3장
uc-ime through username-prompt 명령
url-server
url-server
filter 명령에 사용할 N2H2 또는 Websense 서버를 식별하려면 전역 컨피그레이션 모드에서
url-server 명령을 사용합니다. 컨피그레이션을 제거하려면 이 명령의 no 형식을 사용합니다.
N2H2
url-server [(if_name)] vendor {smartfilter | n2h2} host local_ip [port number] [timeout
seconds] [protocol {TCP [connections number]} | UDP]
no url-server [(if_name)] vendor {smartfilter | n2h2} host local_ip [port number] [timeout
seconds] [protocol {TCP [connections number]} | UDP]
Websense
url-server (if_name) vendor websense host local_ip [timeout seconds] [protocol {TCP | UDP |
connections num_conns] | version]
no url-server (if_name) vendor websense host local_ip [timeout seconds] [protocol {TCP | UDP
[connections num_conns] | version]
구문 설명
N2H2
connections
허용되는 최대 TCP 연결 수를 제한합니다.
num_conns
보안 어플라이언스에서 만든 최대 TCP 연결 수를 URL 서버에 지정합니다. 이
수치는 서버당 지정되므로 서버마다 연결 값이 다를 수 있습니다.
host local_ip
URL 필터링 애플리케이션을 실행하는 서버입니다.
if_name
(선택 사항) 인증 서버가 상주하는 네트워크 인터페이스입니다. 지정하지 않
은 경우 기본값은 inside입니다.
port number
N2H2 서버 포트입니다. 또한 ASA는 이 포트에서 UDP 응답을 수신 대기합니
다. 기본 포트 번호는 4005입니다.
protocol
프로토콜은 TCP 또는 UDP 키워드를 사용하여 구성할 수 있습니다. 기본값은
TCP입니다.
timeout seconds
ASA가 지정한 다음 서버로 전환하기 전에 허용되는 최대 유휴 시간입니다. 기
본값은 30초입니다.
vendor
URL 필터링 서비스(‘smartfilter’ 또는 ‘n2h2’(이전 버전과의 호환성용))를 나
타냅니다. ‘smartfilter’는 공급업체 문자열로 저장됩니다.
Websense
connections
허용되는 최대 TCP 연결 수를 제한합니다.
num_conns
보안 어플라이언스에서 만든 최대 TCP 연결 수를 URL 서버에 지정합니다. 이
수치는 서버당 지정되므로 서버마다 연결 값이 다를 수 있습니다.
host local_ip
URL 필터링 애플리케이션을 실행하는 서버입니다.
if_name
인증 서버가 상주하는 네트워크 인터페이스입니다. 지정하지 않은 경우 기본
값은 inside입니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-27
3장
uc-ime through username-prompt 명령
url-server
timeout seconds
ASA가 지정한 다음 서버로 전환하기 전에 허용되는 최대 유휴 시간입니다. 기
본값은 30초입니다.
protocol
프로토콜은 TCP 또는 UDP 키워드를 사용하여 구성할 수 있습니다. 기본값은
TCP 프로토콜 버전 1입니다.
vendor
websense
URL 필터링 서비스 공급업체가 Websense임을 나타냅니다.
version
프로토콜 버전 1 또는 4를 지정합니다. 기본값은 TCP 프로토콜 버전 1입니다.
TCP는 버전 1 또는 버전 4를 사용하여 구성할 수 있습니다. UDP는 버전 4만 사
용하여 구성할 수 있습니다.
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.0(1)
사용 지침
라우팅됨
•
예
투명
—
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
url-server 명령은 N2H2 또는 Websense URL 필터링 애플리케이션을 실행하는 서버를 지정합니다.
단일 상황 모드의 경우 16개의 URL 서버로 제한되고, 다중 모드의 경우 4개의 URL 서버로 제한됩
니다. 그러나 한 번에 하나의 애플리케이션(N2H2 또는 Websense)만 사용할 수 있습니다. 또한 ASA
에서 컨피그레이션을 변경해도 애플리케이션 서버의 컨피그레이션은 업데이트되지 않습니다. 공
급업체 지침에 따라 개별적으로 업데이트해야 합니다.
HTTPS 및 FTP에 대해 filter 명령을 실행하기 전에 url-server 명령을 구성해야 합니다. 모든 URL
서버가 서버 목록에서 제거되면 URL 필터링과 관련된 모든 filter 명령도 제거됩니다.
서버를 지정한 후에는 filter url 명령을 사용하여 URL 필터링 서비스를 활성화합니다.
show url-server statistics 명령을 사용하여 연결할 수 없는 서버를 비롯한 서버 통계 정보를 볼 수
있습니다.
URL을 필터링하려면 다음 단계를 따르십시오.
1단계
적절한 형식의 공급업체 관련 url-server 명령으로 URL 필터링 애플리케이션 서버를 지정합니다.
2단계
filter 명령으로 URL 필터링을 활성화합니다.
3단계
(선택 사항) url-cache 명령으로 URL 캐싱을 활성화하여 인지된 응답 시간을 향상시킵니다.
4단계
(선택 사항) url-block 명령을 사용하여 긴 URL 및 HTTP 버퍼링 지원을 활성화합니다.
5단계
show url-block block statistics, show url-cache statistics 또는 show url-server statistics 명령을 사
용하여 실행 정보를 볼 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-28
3장
uc-ime through username-prompt 명령
url-server
N2H2 기준 필터링에 대한 자세한 내용은 다음 N2H2 웹사이트를 참조하십시오.
http://www.n2h2.com
Websense 필터링 서비스에 대한 자세한 내용은 다음 웹사이트를 참조하십시오.
http://www.websense.com/
예
다음 예에서는 N2H2를 사용하여 10.0.2.54 호스트의 연결을 제외한 모든 아웃바운드 HTTP 연결을
필터링합니다.
ciscoasa(config)# url-server (perimeter) vendor n2h2 host 10.0.1.1
ciscoasa(config)# filter url http 0 0 0 0
ciscoasa(config)# filter url except 10.0.2.54 255.255.255.255 0 0
다음 예에서는 Websense를 사용하여 10.0.2.54 호스트의 연결을 제외한 모든 아웃바운드 HTTP 연
결을 필터링합니다.
ciscoasa(config)# url-server (perimeter) vendor websense host 10.0.1.1 protocol TCP
version 4
ciscoasa(config)# filter url http 0 0 0 0
ciscoasa(config)# filter url except 10.0.2.54 255.255.255.255 0 0
관련 명령
명령
clear url-server
설명
URL 필터링 서버 통계를 지웁니다.
filter url
URL 필터링 서버로 트래픽을 전송합니다.
show url-block
N2H2 또는 Websense 필터링 서버에서 받은 URL 응답에 사용되는 URL
캐시에 대한 정보를 표시합니다.
url-cache
N2H2 또는 Websense 서버에서 응답이 보류 중인 동안 URL 캐싱을 활성
화하고 캐시 크기를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-29
3장
uc-ime through username-prompt 명령
urgent-flag
urgent-flag
TCP 노멀라이저를 통한 URG 포인터를 허용하거나 제거하려면 tcp-map 컨피그레이션 모드에서
urgent-flag 명령을 사용합니다. 이 사양을 제거하려면 이 명령의 no 형식을 사용합니다.
urgent-flag {allow | clear}
no urgent-flag {allow | clear}
구문 설명
allow TCP 노멀라이저를 통한 URG 포인터를 허용합니다.
clear TCP 노멀라이저를 통한 URG 포인터를 지웁니다.
기본값
긴급 플래그 및 긴급 오프셋은 기본적으로 지워집니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
tcp-map 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
tcp map 명령은 MPF(Modular Policy Framework) 인프라와 함께 사용됩니다. class-map 명령을 사
용하여 트래픽의 클래스를 정의하고, tcp-map 명령을 사용하여 TCP 검사를 사용자 지정합니다. 새
TCP 맵은 policy-map 명령을 사용하여 적용합니다. TCP 검사는 service-policy 명령을 사용하여 활
성화합니다.
tcp-map 명령을 사용하여 tcp-map 컨피그레이션 모드를 시작할 수 있습니다. tcp-map 컨피그레이
션 모드에서 urgent-flag 명령을 사용하여 긴급 플래그를 허용할 수 있습니다.
URG 플래그는 스트림 내의 다른 데이터보다 우선순위가 높은 정보가 패킷에 포함되어 있음을 나
타내는 데 사용됩니다. TCP RFC는 URG 플래그의 정확한 해석이 모호하므로 종단 시스템에서는
다른 방식으로 긴급 오프셋을 처리하며, 이로 인해 공격에 취약해질 수 있습니다. 기본 동작은 URG
플래그 및 오프셋을 지우는 것입니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-30
3장
uc-ime through username-prompt 명령
urgent-flag
예
다음 예에서는 긴급 플래그를 허용하는 방법을 보여 줍니다.
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# urgent-flag
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match port tcp
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection
ciscoasa(config)# service-policy pmap
관련 명령
allow
eq 513
advanced-options tmap
global
명령
class
트래픽 분류에 사용할 클래스 맵을 지정합니다.
설명
policy-map
정책, 즉 트래픽 클래스와 하나 이상의 작업 연계를 구성합니다.
set connection
연결 값을 구성합니다.
tcp-map
TCP 맵을 만들고 tcp-map 컨피그레이션 모드에 대한 액세스를 허용합
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-31
3장
uc-ime through username-prompt 명령
user
user
ID 방화벽 기능을 지원하는 사용자 그룹 개체에서 사용자를 만들려면 user-group object 컨피그레
이션 모드에서 user 명령을 사용합니다. 개체에서 사용자를 제거하려면 이 명령의 no 형식을 사용
합니다.
user [domain_nickname\]user_name
[no] user [domain_nickname\]user_name
구문 설명
domain_nickname
(선택 사항) 사용자를 추가할 도메인을 지정합니다.
user_name
사용자의 이름을 지정합니다. 사용자 이름은 [a-z], [A-Z], [0-9],
[!@#$%^&()-_{}. ] 등 모든 문자를 포함할 수 있습니다. 사용자 이름에
공백이 포함된 경우 따옴표로 이름을 묶어야 합니다.
user 키워드를 사용하여 지정한 user_name 인수는 ASCII 사용자 이름을
포함하며, IP 주소를 지정하지 않습니다.
기본값
domain_nickname 인수를 지정하지 않으면 ID 방화벽 기능에 대해 구성된 LOCAL 도메인에 사용자
가 생성됩니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
object-group user 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
ASA는 Active Directory 도메인 컨트롤러에 정의된 사용자 그룹에 대한 LDAP 쿼리를 Active
Directory 서버로 전송합니다. ASA는 ID 방화벽 기능을 위해 이러한 그룹을 가져옵니다. 그러나
ASA에 전역적으로 정의되지 않고 현지화된 보안 정책이 적용되는 로컬 사용자 그룹이 필요한 현
지화된 네트워크 리소스가 있을 수 있습니다. 로컬 사용자 그룹은 Active Directory에서 가져온 중
첩된 그룹 및 사용자 그룹을 포함할 수 있습니다. ASA는 로컬 및 Active Directory 그룹을 통합합니
다. 사용자는 로컬 사용자 그룹 및 Active Directory에서 가져온 사용자 그룹에 속할 수 있습니다.
ASA는 최대 256개의 사용자 그룹(가져온 사용자 그룹 및 로컬 사용자 그룹 포함)을 지원합니다.
액세스 그룹, 캡처 또는 서비스 정책에 포함하면 사용자 그룹 개체가 활성화됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-32
3장
uc-ime through username-prompt 명령
user
사용자 그룹 개체 내에서 다음 개체 유형을 정의할 수 있습니다.
•
User - object-group user에 단일 사용자를 추가합니다. 이 사용자는 LOCAL 사용자 또는 가져
온 사용자일 수 있습니다.
가져온 사용자의 이름은 고유하지 않을 수 있는 CN(공통 이름)이 아니라 고유한
sAMAccountName이어야 합니다. 그러나 일부 Active Directory 서버 관리자는
sAMAccountName과 CN이 동일하도록 요구할 수도 있습니다. 이 경우 ASA가 show
user-identity ad-group-member 명령의 출력에 표시하는 CN을 사용자 개체에서 정의된 가져
온 사용자에 사용할 수 있습니다.
•
User-group - Microsoft Active Directory 서버와 같은 외부 디렉토리 서버에서 정의된 가져온 사
용자 그룹을 group-object user에 추가합니다.
사용자 그룹의 그룹 이름은 고유하지 않을 수 있는 CN(공통 이름)이 아니라 고유한
sAMAccountName이어야 합니다. 그러나 일부 Active Directory 서버 관리자는
sAMAccountName과 CN이 동일하도록 요구할 수도 있습니다. 이 경우 ASA가 show
user-identity ad-group-member command 명령의 출력에 표시하는 CN을 user-group 키워드로
지정된 user_group_name 인수에서 사용할 수 있습니다.
참고
•
Group-object - ASA에서 로컬로 정의된 그룹을 object-group user에 추가합니다.
참고
•
예
먼저 개체에서 지정하지 않고 사용자 그룹 개체 내에서 domain_nickname\\user_group_name
또는 domain_nickname\user_ name을 직접 추가할 수 있습니다. domain_nickname이
AAA 서버와 연결된 경우 ASA는 사용자 개체 그룹이 활성화되면 Microsoft Active
Directory 서버와 같은 외부 디렉토리 서버에 정의된 자세한 중첩된 사용자 그룹 및 사
용자를 ASA로 가져옵니다.
object-group user 개체 내에 개체 그룹을 포함하면 ASA는 ACL 최적화를 활성화한 경우
에도 액세스 그룹에서 개체 그룹을 확장하지 않습니다. show object-group 명령의 출력
에 적중 횟수가 표시되지 않습니다. 적중 횟수는 ACL 최적화가 활성화된 경우 일반 네
트워크 개체 그룹에만 사용할 수 있습니다.
Description - object-group user에 대한 설명을 추가합니다.
다음 예에서는 user 명령을 user-group object 명령과 함께 사용하여 ID 방화벽 기능에서 사용할 사
용자 그룹 개체에서 사용자를 추가하는 방법을 보여 줍니다.
ciscoasa(config)# object-group user
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config)# object-group user
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
sampleuser1-group
description group members of sampleuser1-group
user-group CSCO\\group.sampleusers-all
user CSCO\user2
exit
sampleuser2-group
description group members of sampleuser2-group
group-object sampleuser1-group
user-group CSCO\\group.sampleusers-marketing
user CSCO\user3
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-33
3장
uc-ime through username-prompt 명령
user
관련 명령
명령
description
설명
object-group user 명령으로 만든 그룹에 설명을 추가합니다.
group-object
ID 방화벽 기능에서 사용하기 위해 object-group user 명령으로 만든 사
용자 개체 그룹에 로컬로 정의된 개체 그룹을 추가합니다.
object-group user
ID 방화벽 기능을 위해 사용자 그룹 개체를 만듭니다.
user-group
Microsoft Active Directory에서 가져온 사용자 그룹 object-group user 명
령으로 만든 그룹에 추가합니다.
user-identity enable
Cisco ID 방화벽 인스턴스를 생성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-34
3장
uc-ime through username-prompt 명령
user-alert
user-alert
현재 활성 세션의 모든 클라이언트리스 SSL VPN 사용자에 대해 긴급 메시지 브로드캐스트를 활
성화하려면 특권 EXEC 모드에서 user-alert 명령을 사용합니다. 메시지를 비활성화하려면 이 명령
의 no 형식을 사용합니다.
user-alert string cancel
no user-alert
구문 설명
cancel
팝업 브라우저 창 시작을 취소합니다.
string
영숫자입니다.
기본값
메시지가 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
사용 지침
예
릴리스
8.0(2)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령을 실행하면 엔드 유저에게 구성된 메시지가 포함된 팝업 브라우저 창이 표시됩니다. 이 명
령을 사용해도 ASA 컨피그레이션 파일은 변경되지 않습니다.
다음 예에서는 DAP 추적 디버깅을 활성화하는 방법을 보여 줍니다.
ciscoasa # We will reboot the security appliance at 11:00 p.m. EST time. We apologize for
any inconvenience.
ciscoasa #
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-35
3장
uc-ime through username-prompt 명령
user-authentication
user-authentication
사용자 인증을 활성화하려면 group-policy 컨피그레이션 모드에서 user-authentication enable 명령
을 사용합니다. 사용자 인증을 비활성화하려면 user-authentication disable 명령을 사용합니다. 실
행 중인 컨피그레이션에서 사용자 인증 특성을 제거하려면 이 명령의 no 형식을 사용합니다. 이 옵
션을 사용하면 다른 그룹 정책에서 사용자 인증 값을 상속하도록 허용됩니다.
활성화한 경우 하드웨어 클라이언트 뒤에 있는 개별 사용자는 터널을 통해 네트워크에 액세스하
려면 인증을 받아야 합니다.
user-authentication {enable | disable}
no user-authentication
구문 설명
disable
사용자 인증을 비활성화합니다.
enable
사용자 인증을 활성화합니다.
기본값
사용자 인증은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
개별 사용자는 구성된 인증 서버의 순서에 따라 인증됩니다.
기본 ASA에서 사용자 인증이 필요한 경우 모든 백업 서버에서도 이를 구성해야 합니다.
예
다음 예에서는 "FirstGroup"이라는 그룹 정책에 대한 사용자 인증을 활성화하는 방법을 보여 줍
니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# user-authentication enable
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-36
3장
uc-ime through username-prompt 명령
user-authentication
관련 명령
명령
ip-phone-bypass
설명
IP 전화기가 사용자 인증 없이 연결되도록 합니다. 보안 장
치 인증은 그대로 적용됩니다.
leap-bypass
VPN 클라이언트 뒤에 있는 무선 장치의 LEAP 패킷이 사용
자 인증(활성화된 경우) 전에 VPN 터널을 통과하도록 합니
다. 이를 통해 Cisco 무선 액세스 포인트 장치를 사용하는 워
크스테이션에서 LEAP 인증을 설정할 수 있습니다. 그런 다
음 사용자 인증 시마다 다시 인증합니다.
secure-unit-authentication
VPN 클라이언트가 터널을 시작할 때마다 사용자 이름 및 비
밀번호로 인증하도록 함으로써 보안을 강화합니다.
user-authentication-idle-timeout
개별 사용자에 대한 유휴 시간 제한을 설정합니다. 유휴 시
간 제한 동안 사용자 연결에서 통신 활동이 없는 경우 ASA
는 연결을 종료합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-37
3장
uc-ime through username-prompt 명령
user-authentication-idle-timeout
user-authentication-idle-timeout
하드웨어 클라이언트 뒤에 있는 개별 사용자에 대한 유휴 시간 제한을 설정하려면 group-policy 컨
피그레이션 모드에서 user-authentication-idle-timeout 명령을 사용합니다. 유휴 시간 제한 값을 삭
제하려면 이 명령의 no 형식을 사용합니다. 이 옵션을 사용하면 다른 그룹 정책에서 유휴 시간 제
한 값을 상속하도록 허용됩니다. 유휴 시간 제한 값을 상속하지 못하도록 하려면
user-authentication-idle-timeout none 명령을 사용합니다.
유휴 시간 제한 동안 하드웨어 클라이언트 뒤에 있는 개별 사용자의 통신 활동이 없는 경우 ASA는
연결을 종료합니다.
user-authentication-idle-timeout {minutes | none}
no user-authentication-idle-timeout
구문 설명
minutes
유휴 시간 제한에서 분 수를 지정합니다. 범위는 1~35791394분입니다.
none
무제한 유휴 시간 제한을 허용합니다. 유휴 시간 제한을 null 값으로 설
정하여 유휴 시간 제한을 허용하지 않습니다. 기본 또는 지정된 그룹 정
책에서 사용자 인증 유휴 시간 제한 값을 상속하지 못하도록 합니다.
기본값
30분
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
최소값은 1 분이고, 기본값은 30분이며, 최대값은 10,080분입니다.
이 타이머는 VPN 터널 자체가 아니라 VPN 터널을 통한 클라이언트 액세스만 종료합니다.
show uauth 명령에 대한 응답으로 표시되는 유휴 시간 제한은 항상 Cisco Easy VPN 원격 장치의
터널에 인증된 사용자의 유휴 시간 제한 값입니다.
예
다음 예에서는 “FirstGroup”이라는 그룹 정책에 대한 유휴 시간 제한 값을 45분으로 설정하는 방법
을 보여 줍니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# user-authentication-idle-timeout 45
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-38
3장
uc-ime through username-prompt 명령
user-authentication-idle-timeout
관련 명령
명령
user-authentication
설명
하드웨어 클라이언트 뒤에 있는 사용자가 연결하기 전에 ASA에 자신을
식별해야 합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-39
3장
uc-ime through username-prompt 명령
user-group
user-group
ID 방화벽 기능에서 사용하기 위해 object-group user 명령으로 만든 그룹에 Microsoft Active
Directory 가져온 사용자 그룹을 추가하려면 user-group object 컨피그레이션 모드에서 user-group
명령을 사용합니다. 개체에서 사용자 그룹을 제거하려면 이 명령의 no 형식을 사용합니다.
user-group [domain_nickname\]user_group_name
[no] user-group [domain_nickname\]user_group_name
구문 설명
domain_nickname
(선택 사항) 사용자 그룹을 만들 도메인을 지정합니다.
user_group_name
사용자 그룹의 이름을 지정합니다. 그룹 이름은 [a-z], [A-Z], [0-9],
[!@#$%^&()-_{}. ] 등 모든 문자를 포함할 수 있습니다. 그룹 이름에 공
백이 포함된 경우 따옴표로 이름을 묶어야 합니다.
기본값
domain_nickname 인수를 지정하지 않으면 ID 방화벽 기능에 대해 구성된 LOCAL 도메인에 사용자
그룹이 생성됩니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
object-group user 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
ASA는 Active Directory 도메인 컨트롤러에 정의된 사용자 그룹에 대한 LDAP 쿼리를 Active
Directory 서버로 전송합니다. ASA는 ID 방화벽 기능을 위해 이러한 그룹을 가져옵니다. 그러나
ASA에 전역적으로 정의되지 않고 현지화된 보안 정책이 적용되는 로컬 사용자 그룹이 필요한 현
지화된 네트워크 리소스가 있을 수 있습니다. 로컬 사용자 그룹은 Active Directory에서 가져온 중
첩된 그룹 및 사용자 그룹을 포함할 수 있습니다. ASA는 로컬 및 Active Directory 그룹을 통합합니
다. 사용자는 로컬 사용자 그룹 및 Active Directory에서 가져온 사용자 그룹에 속할 수 있습니다.
ASA는 최대 256개의 사용자 그룹(가져온 사용자 그룹 및 로컬 사용자 그룹 포함)을 지원합니다.
액세스 그룹, 캡처 또는 서비스 정책에 포함하면 사용자 그룹 개체가 활성화됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-40
3장
uc-ime through username-prompt 명령
user-group
사용자 그룹 개체 내에서 다음 개체 유형을 정의할 수 있습니다.
•
User - object-group user에 단일 사용자를 추가합니다. 이 사용자는 LOCAL 사용자 또는 가져
온 사용자일 수 있습니다.
가져온 사용자의 이름은 고유하지 않을 수 있는 CN(공통 이름)이 아니라 고유한
sAMAccountName이어야 합니다. 그러나 일부 Active Directory 서버 관리자는
sAMAccountName과 CN이 동일하도록 요구할 수도 있습니다. 이 경우 ASA가 show
user-identity ad-group-member 명령의 출력에 표시하는 CN을 사용자 개체에서 정의된 가져
온 사용자에 사용할 수 있습니다.
•
User-group - Microsoft Active Directory 서버와 같은 외부 디렉토리 서버에서 정의된 가져온 사
용자 그룹을 group-object user에 추가합니다.
사용자 그룹의 그룹 이름은 고유하지 않을 수 있는 CN(공통 이름)이 아니라 고유한
sAMAccountName이어야 합니다. 그러나 일부 Active Directory 서버 관리자는
sAMAccountName과 CN이 동일하도록 요구할 수도 있습니다. 이 경우 ASA가 show
user-identity ad-group-member command 명령의 출력에 표시하는 CN을 user-group 키워드로
지정된 user_group_name 인수에서 사용할 수 있습니다.
참고
•
Group-object - ASA에서 로컬로 정의된 그룹을 object-group user에 추가합니다.
참고
•
예
먼저 개체에서 지정하지 않고 사용자 그룹 개체 내에서 domain_nickname\\user_group_name
또는 domain_nickname\user_ name을 직접 추가할 수 있습니다. domain_nickname이
AAA 서버와 연결된 경우 ASA는 사용자 개체 그룹이 활성화되면 Microsoft Active
Directory 서버와 같은 외부 디렉토리 서버에 정의된 자세한 중첩된 사용자 그룹 및 사
용자를 ASA로 가져옵니다.
object-group user 개체 내에 개체 그룹을 포함하면 ASA는 ACL 최적화를 활성화한 경우
에도 액세스 그룹에서 개체 그룹을 확장하지 않습니다. show object-group 명령의 출력
에 적중 횟수가 표시되지 않습니다. 적중 횟수는 ACL 최적화가 활성화된 경우 일반 네
트워크 개체 그룹에만 사용할 수 있습니다.
Description - object-group user에 대한 설명을 추가합니다.
다음 예에서는 user-group 명령을 user-group object 명령과 함께 사용하여 ID 방화벽 기능에서 사
용할 사용자 그룹 개체에서 사용자를 추가하는 방법을 보여 줍니다.
ciscoasa(config)# object-group user
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config)# object-group user
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
ciscoasa(config-object-group user)#
sampleuser1-group
description group members of sampleuser1-group
user-group CSCO\\group.sampleusers-all
user CSCO\user2
exit
sampleuser2-group
description group members of sampleuser2-group
group-object sampleuser1-group
user-group CSCO\\group.sampleusers-marketing
user CSCO\user3
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-41
3장
uc-ime through username-prompt 명령
user-group
관련 명령
명령
description
설명
object-group user 명령으로 만든 그룹에 설명을 추가합니다.
group-object
ID 방화벽 기능에서 사용하기 위해 object-group user 명령으로 만든 사
용자 개체 그룹에 로컬로 정의된 개체 그룹을 추가합니다.
object-group user
ID 방화벽 기능을 위해 사용자 그룹 개체를 만듭니다.
user
object-group user 명령으로 만든 개체 그룹에 사용자를 추가합니다.
user-identity enable
Cisco ID 방화벽 인스턴스를 생성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-42
3장
uc-ime through username-prompt 명령
user-identity action ad-agent-down
user-identity action ad-agent-down
Active Directory 에이전트가 응답하지 않을 때의 Cisco ID 방화벽 인스턴스에 대한 동작을 설정하
려면 전역 컨피그레이션 모드에서 user-identity action ad-agent-down 명령을 사용합니다. ID 방화
벽 인스턴스에 대한 이 동작을 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity action ad-agent-down disable-user-identity-rule
no user-identity action ad-agent-down disable-user-identity-rule
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 이 명령은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
AD 에이전트가 응답하지 않을 때의 동작을 지정합니다.
user-identity action ad-agent-down 명령이 구성된 경우 AD 에이전트의 작동이 중지되면 ASA는
해당 도메인의 사용자와 연결된 사용자 ID 규칙을 비활성화합니다. 또한 해당 도메인의 모든 사용
자 IP 주소에 대한 상태가 show user-identity user 명령의 출력에 비활성화된 것으로 표시됩니다.
예
다음 예에서는 ID 방화벽에 대한 이 동작을 활성화하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity action ad-agent-down disable-user-identity-rule
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-43
3장
uc-ime through username-prompt 명령
user-identity action domain-controller-down
user-identity action domain-controller-down
Active Directory 도메인 컨트롤러의 작동이 중지되었을 때의 Cisco ID 방화벽 인스턴스에 대한 동
작을 설정하려면 전역 컨피그레이션 모드에서 user-identity action domain-controller-down 명령
을 사용합니다. 이 동작을 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity action domain-controller-down domain_nickname disable-user-identity-rule
no user-identity action domain-controller-down domain_nickname disable-user-identity-rule
구문 설명
domain_nickname
기본값
기본적으로 이 명령은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
ID 방화벽에 대한 도메인 이름을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
Active Directory 도메인 컨트롤러가 응답하지 않아 도메인의 작동이 중지된 경우의 동작을 지정합
니다.
disable-user-identity-rule 키워드가 구성된 경우 도메인의 작동이 중지되면 ASA는 해당 도메인에
대해 사용자 ID-IP 주소 매핑을 비활성화합니다. 또한 해당 도메인의 모든 사용자 IP 주소에 대한
상태가 show user-identity user 명령의 출력에 비활성화된 것으로 표시됩니다.
예
다음 예에서는 ID 방화벽에 대한 이 동작을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity action domain-controller-down SAMPLE
disable-user-identity-rule
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-44
3장
uc-ime through username-prompt 명령
user-identity action mac-address-mismatch
user-identity action mac-address-mismatch
사용자의 MAC 주소가 ASA 장치 IP 주소와 일치하지 않을 때의 Cisco ID 방화벽 인스턴스에 대한
동작을 설정하려면 전역 컨피그레이션 모드에서 user-identity action mac-address mismatch 명령
을 사용합니다. 이 동작을 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity action mac-address mismatch remove-user-ip
no user-identity action mac-address mismatch remove-user-ip
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
이 명령을 지정한 경우 ASA는 기본적으로 remove-user-ip를 사용합니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용자의 MAC 주소가 현재 해당 MAC 주소에 매핑된 ASA 장치 IP 주소와 일치하지 않을 때의 동
작을 지정합니다. 이 동작은 사용자 ID 규칙의 효과를 비활성화합니다.
user-identity action mac-address-mismatch 명령을 구성한 경우 ASA는 해당 클라이언트에 대해 사
용자 ID-IP 주소 매핑을 제거합니다.
예
다음 예에서는 ID 방화벽을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity action mac-address-mismatch remove-user-ip
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-45
3장
uc-ime through username-prompt 명령
user-identity action netbios-response-fail
user-identity action netbios-response-fail
클라이언트가 Cisco ID 방화벽 인스턴스에 대한 NetBIOS 프로브에 응답하지 않을 때의 동작을 설
정하려면 전역 컨피그레이션 모드에서 user-identity action netbios-response-fail 명령을 사용합니
다. 이 동작을 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity action netbios-response-fail remove-user-ip
no user-identity action netbios-response-fail remove-user-ip
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 이 명령은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
클라이언트가 NetBIOS 프로브에 응답하지 않을 때의 동작을 지정합니다. 예를 들어 해당 클라이
언트에 대한 네트워크 연결이 차단되거나 클라이언트가 활성 상태가 아닐 수 있습니다.
user-identity action remove-user-ip 명령을 구성한 경우 ASA는 해당 클라이언트에 대해 사용자
ID-IP 주소 매핑을 제거합니다.
예
다음 예에서는 ID 방화벽을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity action netbios-response-fail remove-user-ip
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-46
3장
uc-ime through username-prompt 명령
user-identity ad-agent aaa-server
user-identity ad-agent aaa-server
Cisco ID 방화벽 인스턴스에 대한 AD 에이전트의 서버 그룹을 정의하려면 AAA 서버 호스트 컨피
그레이션 모드에서 user-identity ad-agent aaa-server 명령을 사용합니다. 이 동작을 제거하려면 이
명령의 no 형식을 사용합니다.
user-identity user-identity ad-agent aaa-server aaa_server_group_tag
no user-identity user-identity ad-agent aaa-server aaa_server_group_tag
구문 설명
aaa_server_group_tag
기본값
이 명령에는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
ID 방화벽과 연결된 AAA 서버 그룹을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
aaa-server host 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
aaa_server_group_tag 변수에 정의된 첫 번째 서버는 기본 AD 에이전트이고, 두 번째 서버는 보조
AD 에이전트입니다.
ID 방화벽은 두 개의 AD 에이전트 호스트만 정의하도록 지원합니다.
보조 에이전트가 지정된 경우 ASA는 기본 AD 에이전트의 작동이 중지된 것을 감지하면 보조 AD
에이전트로 전환합니다. AD 에이전트의 AAA 서버는 RADIUS를 통신 프로토콜로 사용하며, ASA
와 AD 에이전트 간의 공유 암호에 대한 키 특성을 지정해야 합니다.
예
다음 예에서는 ID 방화벽에 대한 AD 에이전트 AAA 서버 호스트를 정의하는 방법을 보여 줍니다.
ciscoasa(config-aaa-server-hostkey)# user-identity ad-agent aaa-server adagent
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-47
3장
uc-ime through username-prompt 명령
user-identity ad-agent active-user-database
user-identity ad-agent active-user-database
ASA가 Cisco ID 방화벽 인스턴스의 AD 에이전트에서 사용자 ID-IP 주소 매핑 정보를 검색하는 방
법을 정의하려면 전역 컨피그레이션 모드에서 user-identity ad-agent active-user-database 명령을
사용합니다. 컨피그레이션을 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity ad-agent active-user-database {on-demand|full-download}
no user-identity ad-agent active-user-database {on-demand|full-download}
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 ASA 5505에서는 on-demand 옵션을 사용합니다. 다른 ASA 플랫폼에서는
full-download 옵션을 사용합니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
라우팅됨
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
ASA가 AD 에이전트에서 사용자 ID-IP 주소 매핑 정보를 검색하는 방법을 정의합니다.
•
full-download - ASA가 시작될 때 ASA에서 AD 에이전트로 전체 IP-사용자 매핑 테이블 다운
로드 요청을 보낸 다음 사용자가 로그인 및 로그아웃하면 증분 IP-사용자 매핑을 검색하도록
지정합니다.
•
on-demand - ASA가 새 연결에 필요한 패킷을 수신할 때 해당 소스 IP 주소의 사용자가 사용자
ID 데이터베이스에 없는 경우 ASA가 AD 에이전트에서 IP 주소의 사용자 매핑 정보를 검색하
도록 지정합니다.
기본적으로 ASA 5505에서는 on-demand 옵션을 사용합니다. 다른 ASA 플랫폼에서는
full-download 옵션을 사용합니다.
전체 다운로드는 이벤트 기반이므로 데이터베이스 다운로드에 대한 후속 요청에서는 사용자 ID-IP
주소 매핑 데이터베이스에 만 업데이트만 전송합니다.
ASA가 AD 에이전트에 요청 변경을 등록하면 AD 에이전트에서 ASA로 새 이벤트를 전송합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-48
3장
uc-ime through username-prompt 명령
user-identity ad-agent active-user-database
예
다음 예에서는 ID 방화벽에 대한 이 옵션을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity ad-agent active-user-database full-download
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-49
3장
uc-ime through username-prompt 명령
user-identity ad-agent hello-timer
user-identity ad-agent hello-timer
Cisco ID 방화벽 인스턴스의 AD 에이전트와 ASA 간의 타이머를 정의하려면 전역 컨피그레이션
모드에서 user-identity ad-agent hello-timer 명령을 사용합니다. 컨피그레이션을 제거하려면 이 명
령의 no 형식을 사용합니다.
user-identity ad-agent hello-timer seconds seconds retry-times number
no user-identity ad-agent hello-timer seconds seconds retry-times number
구문 설명
number
타이머를 재시도할 횟수를 지정합니다.
seconds
타이머의 기간을 지정합니다.
기본값
기본적으로 hello 타이머는 30초 및 5회 재시도로 설정됩니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
ASA와 AD 에이전트 간의 hello 타이머를 정의합니다.
ASA와 AD 에이전트 간의 hello 타이머는 ASA가 hello 패킷을 교환하는 빈도를 정의합니다. ASA
는 hello 패킷을 사용하여 ASA 복제 상태(in-sync 또는 out-of-sync) 및 도메인 상태(up 또는 down)
를 가져옵니다. ASA는 AD 에이전트에서 응답을 받지 못한 경우 지정된 간격 후 hello 패킷을 다시
전송합니다.
기본적으로 hello 타이머는 30초 및 5회 재시도로 설정됩니다.
예
다음 예에서는 ID 방화벽에 대한 이 옵션을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity ad-agent hello-timer seconds 20 retry-times 3
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-50
3장
uc-ime through username-prompt 명령
user-identity ad-agent event-timestamp-check
user-identity ad-agent event-timestamp-check
권한 부여 재생 공격의 변경으로부터 ASA를 방지하기 위해 RADIUS 이벤트 타임스탬프 확인을 활
성화하려면 전역 컨피그레이션 모드에서 user-identity ad-agent event-timestamp-check 명령을 사
용합니다. 컨피그레이션을 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity ad-agent event-timestamp-check
no user-identity ad-agent event-timestamp-check
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 설정은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
명령 기록
릴리스
9.1(5)
사용 지침
이 명령을 사용하면 ASA가 각 식별자에 대해 마지막으로 받은 이벤트 타임스탬프를 추적하고, 이
벤트 타임스탬프가 ASA의 클럭보다 5분 이상 오래되거나 해당 타임스탬프가 마지막 이벤트의 타
임스탬프보다 빠른 경우 모든 메시지를 삭제합니다.
수정 사항
이 명령이 도입되었습니다.
마지막 이벤트 타임스탬프를 모르는 새로 부팅된 ASA의 경우 ASA는 이벤트 타임스탬프를 해당
클럭과 비교합니다. 이벤트가 5분 이상 오래된 경우 ASA는 메시지를 허용하지 않습니다.
참고
예
NTP를 사용하여 해당 클럭을 동기화하도록 ASA, Active Directory 및 Active Directory 에이전트를
구성하는 것이 좋습니다.
다음 예에서는 ID 방화벽에 대한 이벤트 타임스탬프 확인을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity ad-agent event-timestamp-check
관련 명령
명령
user-identity ad-agent
hello-timer
설명
Cisco ID 방화벽 인스턴스의 AD 에이전트와 ASA 간의 타이머를 정의
합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-51
3장
uc-ime through username-prompt 명령
user-identity default-domain
user-identity default-domain
Cisco ID 방화벽 인스턴스에 대한 기본 도메인을 지정하려면 전역 컨피그레이션 모드에서
user-identity default-domain 명령을 사용합니다. 기본 도메인을 제거하려면 이 명령의 no 형식을
사용합니다.
user-identity default-domain domain_NetBIOS_name
no user-identity default-domain domain_NetBIOS_name
구문 설명
domain_NetBIOS_name
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
ID 방화벽에 대한 기본 도메인을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
domain_NetBIOS_name에는
[a-z], [A-Z], [0-9], [!@#$%^&()-_=+[]{};,.] 등으로 구성된 최대 32자의 이
름을 입력합니다. 단, 첫 자에는 '.' 및 ' '을 사용할 수 없습니다. 도메인 이름에 공백이 포함된 경우
따옴표로 전체 이름을 묶어야 합니다. 도메인 이름은 대/소문자를 구분하지 않습니다.
사용자 또는 그룹에 대해 도메인이 명시적으로 구성되지 않은 경우에는 모든 사용자 및 사용자 그
룹에 기본 도메인이 사용됩니다. 기본 도메인을 지정하지 않은 경우 사용자 및 그룹의 기본 도메인
은 LOCAL입니다. 다중 상황 모드의 경우 시스템 실행 공간 내에서뿐만 아니라 각 상황에 대한 기
본 도메인 이름을 설정할 수 있습니다.
참고
지정한 기본 도메인 이름은 Active Directory 도메인 컨트롤러에 구성된 NetBIOS 도메인 이
름과 일치해야 합니다. 도메인 이름이 일치하지 않으면 AD 에이전트가 사용자 ID-IP 주소
매핑을 ASA를 구성할 때 입력한 도메인 이름과 잘못 연결합니다. NetBIOS 도메인 이름을
보려면 아무 텍스트 편집기에서나 Active Directory 사용자 이벤트 보안 로그를 엽니다.
ID 방화벽은 로컬로 정의된 모든 사용자 그룹 또는 로컬로 정의된 모든 사용자에 LOCAL 도메인
을 사용합니다. 웹 포털(컷스루 프록시)을 통해 로그인하는 사용자는 인증된 Active Directory 도메
인에 속한 것으로 지정됩니다. VPN을 통해 로그인하는 사용자는 해당 VPN이 Active Directory에서
LDAP로 인증되지 않은 한 LOCAL 도메인에 속하는 것으로 지정됩니다. 이는 ID 방화벽이 사용자
를 해당 Active Directory 도메인과 연결할 수 있도록 하기 위한 것입니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-52
3장
uc-ime through username-prompt 명령
user-identity default-domain
예
다음 예에서는 ID 방화벽에 대한 기본 도메인을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity default-domain SAMPLE
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-53
3장
uc-ime through username-prompt 명령
user-identity domain
user-identity domain
Cisco ID 방화벽 인스턴스에 대한 도메인을 연결하려면 전역 컨피그레이션 모드에서 user-identity
domain 명령을 사용합니다. 도메인 연결을 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity domain domain_nickname aaa-server aaa_server_group_tag
no user-identity domain_nickname aaa-server aaa_server_group_tag
구문 설명
aaa_server_group_tag
ID 방화벽과 연결된 AAA 서버 그룹을 지정합니다.
domain_nickname
ID 방화벽에 대한 도메인 이름을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용자 그룹 쿼리를 가져오기 위해 AAA 서버에 대해 정의된 LDAP 매개변수를 도메인 이름과 연
결합니다.
domain_nickname에는
[a-z], [A-Z], [0-9], [!@#$%^&()-_=+[]{};,.] 등으로 구성된 최대 32자의 이름
을 입력합니다. 단, 첫 자에는 '.' 및 ' '을 사용할 수 없습니다. 도메인 이름에 공백이 포함된 경우 해
당 공백 문자를 따옴표로 묶어야 합니다. 도메인 이름은 대/소문자를 구분하지 않습니다.
예
다음 예에서는 ID 방화벽에 대한 도메인을 연결하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity domain SAMPLE aaa-server ds
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-54
3장
uc-ime through username-prompt 명령
user-identity enable
user-identity enable
Cisco ID 방화벽 인스턴스를 만들려면 전역 컨피그레이션 모드에서 user-identity enable 명령을 사
용합니다. ID 방화벽 인스턴스를 비활성화하려면 이 명령의 no 형식을 사용합니다.
user-identity enable
no user-identity enable
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
이 명령은 ID 방화벽을 활성화합니다.
예
다음 예에서는 ID 방화벽을 활성화하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity enable
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-55
3장
uc-ime through username-prompt 명령
user-identity inactive-user-timer
user-identity inactive-user-timer
Cisco ID 방화벽 인스턴스에 대해 사용자가 유휴 상태로 간주되기 위해 경과해야 하는 시간을 지정
하려면 전역 컨피그레이션 모드에서 user-identity inactive-user-timer 명령을 사용합니다. 타이머
를 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity inactive-user-timer minutes minutes
no user-identity inactive-user-timer minutes minutes
구문 설명
minutes
기본값
기본적으로 유휴 시간 제한은 60분으로 설정됩니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
사용자가 유휴 상태로 간주되기 위해 경과해야 하는 시간(분), 즉 ASA가
지정된 기간 동안 사용자 IP 주소에서 트래픽을 받지 못한 시간을 지정합
니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
예
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
타이머가 만료되면 사용자의 IP 주소가 비활성으로 표시되고, 로컬로 캐시된 사용자 ID-IP 주소 매
핑 데이터베이스에서 제거되며, ASA가 해당 IP 주소 제거에 대해 더 이상 AD 에이전트에 알리지
않습니다. 기존 트래픽은 여전히 통과하도록 허용됩니다. 이 명령을 지정하면 NetBIOS 로그아웃
프로브가 구성된 경우에도 ASA에서 비활성 타이머를 실행합니다.
참고
예
•
투명
유휴 시간 제한 옵션은 VPN 또는 컷스루 프록시 사용자에게는 적용되지 않습니다.
다음 예에서는 ID 방화벽을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity inactive-user-timer minutes 120
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-56
3장
uc-ime through username-prompt 명령
user-identity logout-probe
user-identity logout-probe
Cisco ID 방화벽 인스턴스에 대한 NetBIOS 프로빙을 활성화하려면 전역 컨피그레이션 모드에서
user-identity logout-probe 명령을 사용합니다. 프로빙을 비활성화하려면 이 명령의 no 형식을 사
용합니다.
user-identity logout-probe netbios local-system probe-time minutes minutes retry-interval
seconds seconds retry-count times [user-not-needed | match-any | exact-match]
no user-identity logout-probe netbios local-system probe-time minutes minutes retry-interval
seconds seconds retry-count times [user-not-needed | match-any | exact-match]
구문 설명
minutes
프로브 간의 간격(분)을 지정합니다.
seconds
재시도 간격을 지정합니다.
times
프로브를 재시도할 횟수를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
NetBIOS 패킷을 최소화하기 위해 ASA는 사용자가 지정된 기간(분)보다 오래 유휴 상태로 유지된
경우에만 클라이언트로 NetBIOS 프로브를 전송합니다.
NetBIOS 프로브 타이머(1~65535분) 및 재시도 간격(1~256)을 설정합니다. 프로브를 재시도할 횟
수를 지정합니다.
•
match-any - 클라이언트의 NetBIOS 응답에 IP 주소에 할당된 사용자의 사용자 이름이 포함되
어 있으면 사용자 ID가 유효한 것으로 간주됩니다. 이 옵션을 지정하려면 클라이언트에서 메
신저 서비스가 활성화되고 WINS 서버가 구성되어 있어야 합니다.
•
exact-match - IP 주소에 할당된 사용자의 사용자 이름이 NetBIOS 응답에 있는 유일한 사용자
이름이어야 합니다. 그렇지 않으면 해당 IP 주소의 사용자 ID가 유효하지 않은 것으로 간주됩
니다. 이 옵션을 지정하려면 클라이언트에서 메신저 서비스가 활성화되고 WINS 서버가 구성
되어 있어야 합니다.
•
user-not-needed - ASA가 클라이언트에서 NetBIOS 응답을 받으면 사용자 ID가 유효한 것으로
간주됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-57
3장
uc-ime through username-prompt 명령
user-identity logout-probe
ID 방화벽은 활성 상태이고 하나 이상의 보안 정책에 있는 사용자 ID에 대해서만 NetBIOS 프로브
를 수행합니다. ASA는 사용자가 컷스루 프록시를 통해 또는 VPN을 사용하여 로그인한 경우 클라
이언트에 대해 NetBIOS 프로빙을 수행하지 않습니다.
예
다음 예에서는 ID 방화벽을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity logout-probe netbios local-system probe-time minutes 10
retry-interval seconds 10 retry-count 2 user-not-needed
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-58
3장
uc-ime through username-prompt 명령
user-identity monitor
user-identity monitor
Cloud Web Security의 경우 AD 에이전트에서 지정된 사용자 또는 그룹 정보를 다운로드하려면 전
역 컨피그레이션 모드에서 user-identity monitor 명령을 사용합니다. 모니터링을 중지하려면 이 명
령의 no 형식을 사용합니다.
user-identity monitor {user-group [domain-name\\]group-name | object-group-user
object-group-name}
no user-identity monitor {user-group [domain-name\\]group-name | object-group-user
object-group-name}
구문 설명
object-group-user
object-group-name
object-group user 이름을 지정합니다. 이 그룹은 여러 그룹을 포함할 수
있습니다.
user-group
[domain-name\\]
group-name
인라인 그룹 이름을 지정합니다. 도메인과 그룹 사이에 백슬래시 2개(\\)
를 지정한 경우에도 ASA는 Cloud Web Security 표기법 규칙을 준수하기
위해 Cloud Web Security로 전송할 때 백슬래시를 하나만 포함하도록 이
름을 수정합니다.
명령 기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
ID 방화벽 기능을 사용할 때 ASA는 AD 서버에서 활성 ACL에 포함된 사용자 및 그룹에 대한 사용
자 ID 정보만 다운로드합니다. ACL은 액세스 규칙, AAA 규칙, 서비스 정책 규칙 또는 활성 상태로
간주되는 기타 기능에서 사용되어야 합니다. Cloud Web Security는 해당 정책이 사용자 ID를 기반
으로 할 수 있기 때문에 모든 사용자에 대해 ID 방화벽을 완전히 적용하려는 경우 활성 ACL의 일
부가 아닌 그룹을 다운로드해야 할 수도 있습니다. 예를 들어 사용자 및 그룹이 포함된 ACL을 사
용하도록 Cloud Web Security 서비스 정책 규칙을 구성하여 모든 관련 그룹을 활성화할 수 있지만
이는 필수 사항이 아닙니다. IP 주소만을 기반으로 하는 ACL을 사용할 수 있습니다. 사용자 ID 모
니터 기능을 사용하면 AD 에이전트에서 직접 그룹 정보를 다운로드할 수 있습니다.
ASA는 사용자 ID 모니터에 대해 구성된 그룹 및 활성 ACL을 통해 모니터링되는 그룹을 포함하여
최대 512개의 그룹만 모니터링할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-59
3장
uc-ime through username-prompt 명령
user-identity monitor
예
다음 예에서는 CISCO\\Engineering 사용자 그룹을 모니터링합니다.
ciscoasa(config)# user-identity monitor user-group CISCO\\Engineering
관련 명령
명령
설명
class-map type inspect 허용 목록의 사용자 및 그룹에 대한 검사 클래스 맵을 만듭니다.
scansafe
default user group
ASA에서 ASA에 연결하는 사용자의 ID를 확인할 수 없는 경우 기본 사
용자 이름 및/또는 그룹을 지정합니다.
http[s](매개변수)
inspect scansafe
검사 정책 맵의 서비스 유형(HTTP 또는 HTTPS)을 지정합니다.
license
요청을 보낸 조직을 나타내기 위해 ASA에서 Cloud Web Security 프록시
서버로 보내는 인증 키를 구성합니다.
match user group
사용자 또는 그룹이 허용 목록과 일치하는지 확인합니다.
policy-map type
inspect scansafe
규칙의 필수 매개변수를 구성하고 선택적으로 허용 목록을 식별할 수 있
도록 검사 정책 맵을 만듭니다.
retry-count
ASA에서 Cloud Web Security 프록시 서버를 폴링하여 해당 가용성을 확
인하기 전에 대기할 시간인 재시도 카운터 값을 입력합니다.
scansafe
다중 상황 모드에서 상황별로 Cloud Web Security를 허용합니다.
scansafe
general-options
일반 Cloud Web Security 서버 옵션을 구성합니다.
server {primary |
backup}
기본 또는 백업 Cloud Web Security 프록시 서버의 FQDN(정규화된 도메
인 이름) 또는 IP 주소를 구성합니다.
show conn scansafe
대문자 Z 플래그를 지정하여 모든 Cloud Web Security 연결을 표시합니다.
show scansafe server
현재 활성 서버인지, 백업 서버인지 또는 연결할 수 없는지와 같은 서버
의 상태를 표시합니다.
show scansafe
statistics
총 HTTP 연결 수와 현재 HTTP 연결 수를 표시합니다.
whitelist
트래픽의 클래스에 대해 허용 목록 작업을 수행합니다.
클래스의 트래픽에 대한 Cloud Web Security 검사를 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-60
3장
uc-ime through username-prompt 명령
user-identity poll-import-user-group-timer
user-identity poll-import-user-group-timer
ASA가 Active Directory 서버에서 Cisco ID 방화벽 인스턴스에 대한 사용자 그룹 정보를 쿼리하기
전에 경과해야 하는 시간을 지정하려면 전역 컨피그레이션 모드에서 user-identity
poll-import-user-group-timer 명령을 사용합니다. 타이머를 제거하려면 이 명령의 no 형식을 사용
합니다.
user-identity poll-import-user-group-timer hours hours
no user-identity poll-import-user-group-timer hours hours
구문 설명
hours
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
폴링 타이머 시간을 설정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
ASA가 Active Directory 서버에서 사용자 그룹 정보를 쿼리하기 전에 경과해야 하는 시간을 지정합
니다.
사용자가 Active Directory 그룹에서 추가되거나 삭제된 경우 ASA는 그룹 가져오기 타이머가 실행
된 후 업데이트된 사용자 그룹을 받습니다.
기본적으로 폴링 타이머는 8시간입니다.
사용자 그룹 정보를 즉시 업데이트하려면 user-identity update import-user 명령을 입력합니다.
예
다음 예에서는 ID 방화벽을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity poll-import-user-group-timer hours 1
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-61
3장
uc-ime through username-prompt 명령
user-identity static user
user-identity static user
새 사용자-IP 주소 매핑을 만들거나 Cisco ID 방화벽 기능에 대해 사용자의 IP 주소를 비활성으로
설정하려면 전역 컨피그레이션 모드에서 user-identity static user 명령을 사용합니다. ID 방화벽에
대한 이 컨피그레이션을 제거하려면 이 명령의 no 형식을 사용합니다.
user-identity static user [domain\] user_name host_ip
no user-identity static user [domain\] user_name host_ip
구문 설명
domain
새 사용자-IP 주소 매핑을 만들거나 지정된 도메인의 사용자에 대한 IP 주
소를 비활성으로 설정합니다.
host_ip
새 사용자-IP 주소 매핑을 만들거나 비활성으로 설정할 사용자의 IP 주소
를 지정합니다.
user_name
새 사용자-IP 주소 매핑 또는 사용자를 만들거나 사용자의 IP 주소를 비활
성으로 설정할 사용자 이름을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
예
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령에 대한 사용 지침은 없습니다.
다음 예에서는 ID 방화벽에 대한 이 동작을 활성화하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity static user SAMPLE\user1 192.168.1.101
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-62
3장
uc-ime through username-prompt 명령
user-identity update active-user-database
user-identity update active-user-database
Active Directory 에이전트에서 전체 활성 사용자 데이터베이스를 다운로드하려면 전역 컨피그레
이션 모드에서 user-identity update active-user-database 명령을 사용합니다.
user-identity update active-user-database [timeout minutes minutes]
구문 설명
minutes
기본값
기본 시간 제한은 5분입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
시간 제한 기간(분)을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 Active Directory 에이전트에서 전체 활성 사용자 데이터베이스를 다운로드합니다.
이 명령은 업데이트 작업을 시작하고, 시작 업데이트 로그를 생성하여 즉시 반환합니다. 업데이트
작업이 완료되거나 타이머 만료 시 중단되면 다른 시스템 로그 메시지가 생성됩니다. 미해결 업데
이트 작업은 하나만 허용됩니다. 명령을 다시 실행하면 오류 메시지가 표시됩니다.
명령 실행이 완료되면 ASA에서 명령 프롬프트에 [Done]을 표시한 다음 시스템 로그 메시지를 생
성합니다.
예
다음 예에서는 ID 방화벽에 대한 이 동작을 활성화하는 방법을 보여 줍니다.
ciscoasa# user-identity update active-user-database
ERROR: one update active-user-database operation is already in progress
[Done] user-identity update active-user-database
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-63
3장
uc-ime through username-prompt 명령
user-identity update import-user
user-identity update import-user
Active Directory 에이전트에서 전체 활성 사용자 데이터베이스를 다운로드하려면 전역 컨피그레
이션 모드에서 user-identity update active-user-database 명령을 사용합니다.
user-identity update import-user [[domain_nickname\\] user_group_name [timeout seconds
seconds]]
구문 설명
domain_nickname
업데이트할 그룹의 도메인을 지정합니다.
seconds
시간 제한 기간(초)을 지정합니다.
user_group_name
user_group_name을 지정하면 지정된 가져오기 사용자 그룹만 업데이트됩
니다. 활성화된 그룹(예: 액세스 그룹, 액세스 목록, 캡처 또는 서비스 정책
의 그룹)만 업데이트할 수 있습니다.
지정된 그룹이 활성화되지 않은 경우 이 명령은 작업을 거부합니다. 지정
된 그룹에 여러 수준의 계층이 있으면 재귀적 LDAP 쿼리가 수행됩니다.
user_group_name을 지정하지 않은 경우 ASA는 LDAP 업데이트 서비스를
즉시 시작하고 활성화된 모든 그룹을 정기적으로 업데이트합니다.
기본값
ASA는 최대 5번 업데이트를 재시도하며, 필요한 경우 경고 메시지를 생성합니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 가져오기 사용자 그룹 폴링 타이머의 만료를 기다리지 않고 Active Directory 서버를 즉
시 쿼리하여 지정된 가져오기 사용자 그룹 데이터베이스를 명령합니다. 그룹 ID 데이터베이스는
로컬 사용자 그룹에 컨피그레이션 변경이 있을 때마다 업데이트되므로 로컬 사용자 그룹을 업데
이트하는 명령은 없습니다.
이 명령은 LDAP 쿼리 반환을 대기하기 위해 콘솔을 차단하지 않습니다.
이 명령은 업데이트 작업을 시작하고, 시작 업데이트 로그를 생성하여 즉시 반환합니다. 업데이트
작업이 완료되거나 타이머 만료 시 중단되면 다른 시스템 로그 메시지가 생성됩니다. 미해결 업데
이트 작업은 하나만 허용됩니다. 명령을 다시 실행하면 오류 메시지가 표시됩니다.
LDAP 쿼리에 성공하면 ASA는 검색된 사용자 데이터를 로컬 데이터베이스에서 저장하고 그에 따
라 사용자/그룹 연결을 변경합니다. 업데이트 작업에 성공한 경우 show user-identity user-of-group
domain\\group 명령을 실행하여 저장된 모든 사용자를 이 그룹 아래에 나열할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-64
3장
uc-ime through username-prompt 명령
user-identity update import-user
ASA는 각 업데이트 후 가져온 모든 그룹을 확인합니다. 활성화된 Active Directory 그룹이 Active
Directory에 없는 경우 ASA는 시스템 로그 메시지를 생성합니다.
user_group_name을 지정하지 않은 경우 ASA는 LDAP 업데이트 서비스를 즉시 시작하고 활성화된
모든 그룹을 정기적으로 업데이트합니다. LDAP 업데이트 서비스는 백그라운드에서 실행되며,
Active Directory 서버에서 LDAP 쿼리를 통해 가져오기 사용자 그룹을 정기적으로 업데이트합니다.
시스템 부팅 시 액세스 그룹에 정의된 가져오기 사용자 그룹이 있는 경우 ASA는 LDAP 쿼리를 통
해 사용자/그룹 데이터를 검색합니다. 업데이트 중 오류가 발생한 경우 ASA는 최대 5번 업데이트
를 재시도하고 필요한 경우 경고 메시지를 생성합니다.
명령 실행이 완료되면 ASA에서 명령 프롬프트에 [Done]을 표시한 다음 시스템 로그 메시지를 생
성합니다.
예
다음 예에서는 ID 방화벽에 대한 이 동작을 활성화하는 방법을 보여 줍니다.
ciscoasa# user-identity update import-user group.sample-group1
ERROR: Update import-user group is already in progress
[Done] user-identity update import-user group.sample-group1
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-65
3장
uc-ime through username-prompt 명령
user-identity user-not-found
user-identity user-not-found
Cisco ID 방화벽 인스턴스에 대한 user-not-found 추적을 활성화하려면 전역 컨피그레이션 모드에
서 user-identity user-not-found 명령을 사용합니다. ID 방화벽 인스턴스에 대한 이 추적을 제거하
려면 이 명령의 no 형식을 사용합니다.
user-identity user-not-found enable
no user-identity user-not-found enable
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 이 명령은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
최근 1024개의 IP 주소만 추적됩니다.
예
다음 예에서는 ID 방화벽에 대한 이 동작을 활성화하는 방법을 보여 줍니다.
ciscoasa(config)# user-identity user-not-found enable
관련 명령
명령
clear configure
user-identity
설명
ID 방화벽 기능에 대한 컨피그레이션을 지웁니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-66
3장
uc-ime through username-prompt 명령
user-message
user-message
DAP 레코드를 선택한 경우 표시할 텍스트 메시지를 지정하려면 dynamic-access-policy-record 모드
에서 user-message 명령을 사용합니다. 이 메시지를 제거하려면 이 명령의 no 버전을 사용합니다.
동일한 DAP 레코드에 명령을 두 번 이상 사용하면 이전 메시지가 새 메시지로 대체됩니다.
user-message message
no user-message
구문 설명
message
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
이 DAP 레코드에 할당된 사용자에 대한 메시지입니다. 최대 128자입니다. 메시
지에 공백이 포함된 경우 큰따옴표로 묶습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
dynamic-access-policy-record
명령 기록
사용 지침
릴리스
8.0(2)
•
예
투명
•
예
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
SSL VPN 연결에 성공한 경우 사용자가 연결과 연계된 메시지를 볼 수 있도록 클릭 가능한 아이콘
이 포털 페이지에서 깜박입니다. DAP 정책에서 연결이 종료된 경우(action = terminate) 및 해당
DAP 레코드에 구성된 사용자 메시지가 있는 경우 해당 메시지가 로그인 화면에 표시됩니다.
둘 이상의 DAP 레코드가 연결에 적용된 경우 ASA는 적용 가능한 사용자 메시지를 조합하여 단일
문자열로 표시합니다.
예
다음 예에서는 Finance라는 DAP 레코드에 대해 “Hello Money Managers”라는 사용자 메시지를 설
정하는 방법을 보여 줍니다.
ciscoasa (config) config-dynamic-access-policy-record Finance
ciscoasa(config-dynamic-access-policy-record)# user-message “Hello Money Managers”
ciscoasa(config-dynamic-access-policy-record)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-67
3장
uc-ime through username-prompt 명령
user-message
관련 명령
명령
dynamic-access-policy-record
show running-config
dynamic-access-policy-record
[name]
설명
DAP 레코드를 만듭니다.
모든 DAP 레코드 또는 명명된 DAP 레코드에 대한 실행 중
인 컨피그레이션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-68
3장
uc-ime through username-prompt 명령
user-parameter
user-parameter
SSO 인증을 위해 사용자 이름을 제출해야 하는 HTTP POST 요청 매개변수의 이름을 지정하려면
aaa-server-host 컨피그레이션 모드에서 user-parameter 명령을 사용합니다.
user-parameter name
참고
HTTP 프로토콜로 SSO를 올바르게 설정하려면 인증 및 HTTP 프로토콜 교환에 대해 완벽한 지식
을 갖추어야 합니다.
구문 설명
string
기본값
기본값 또는 동작은 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
HTTP POST 요청에 포함된 사용자 이름 매개변수의 이름입니다. 최대 이
름 크기는 128자입니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
aaa-server-host 컨피그레이션
명령 기록
릴리스
7.1(1)
사용 지침
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이는 HTTP 양식을 사용하는 SSO 명령입니다. ASA의 WebVPN 서버는 HTTP POST 요청을 사용하
여 SSO(Single Sign On) 서버에 SSO 인증 요청을 제출합니다. 필수 명령 user-parameter는 HTTP
POST 요청에 SSO 인증을 위한 사용자 이름 매개변수를 포함하도록 지정합니다.
참고
로그인 시 사용자는 HTTP POST 요청에 입력되어 인증하는 웹 서버로 전달되는 실제 이름 값을 입
력합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-69
3장
uc-ime through username-prompt 명령
user-parameter
예
aaa-server-host 컨피그레이션 모드에서 입력된 다음 예에서는 SSO 인증에 사용되는 HTTP POST
요청에 사용자 이름 매개변수 userid를 포함하도록 지정합니다.
ciscoasa(config)# aaa-server testgrp1 host example.com
ciscoasa(config-aaa-server-host)# user-parameter userid
ciscoasa(config-aaa-server-host)#
관련 명령
명령
action-uri
설명
SSO(Single Sign On) 인증에 필요한 사용자 이름 및 비밀번
호를 받을 웹 서버 URI를 지정합니다.
auth-cookie-name
인증 쿠키 이름을 지정합니다.
hidden-parameter
인증 웹 서버와 교환할 숨겨진 매개변수를 생성합니다.
password-parameter
SSO 인증을 위해 사용자 비밀번호를 제출해야 하는 HTTP
POST 요청 매개변수의 이름을 지정합니다.
start-url
사전 로그인 쿠키를 검색할 URL을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-70
3장
uc-ime through username-prompt 명령
user-statistics
user-statistics
MPF 및 ID 방화벽에 대한 일치 조회 동작의 사용자 통계 수집을 활성화하려면 policy-map 컨피그
레이션 모드에서 user-statistics 명령을 사용합니다. 사용자 통계 수집을 제거하려면 이 명령의 no
형식을 사용합니다.
user-statistics [accounting | scanning]
no user-statistics [accounting | scanning]
구문 설명
accounting
(선택 사항) ASA에서 보낸 패킷 수, 보낸 삭제 수 및 받은 패킷 수를 수
집하도록 지정합니다.
scanning
(선택 사항) ASA에서 보낸 삭제 수만 수집하도록 지정합니다.
기본값
기본적으로 이 명령은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
policy-map 컨피그레이션
명령 기록
사용 지침
릴리스
8.4(2)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
사용자 통계를 수집하도록 정책 맵을 구성한 경우 ASA는 선택한 사용자에 대한 자세한 통계를 수
집합니다. accounting 또는 scanning 키워드 없이 user-statistics 명령을 지정한 경우 ASA는 계정
관리 통계와 스캔 통계를 모두 수집합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-71
3장
uc-ime through username-prompt 명령
user-statistics
예
다음 예에서는 ID 방화벽에 대한 사용자 통계를 활성화하는 방법을 보여 줍니다.
ciscoasa(config)# class-map c-identity-example-1
ciscoasa(config-cmap)# match access-list identity-example-1
ciscoasa(config-cmap)# exit
ciscoasa(config)# policy-map p-identity-example-1
ciscoasa(config-pmap)# class c-identity-example-1
ciscoasa(config-pmap)# user-statistics accounting
ciscoasa(config-pmap)# exit
ciscoasa(config)# service-policy p-identity-example-1 interface outside
관련 명령
명령
policy-map
설명
MPF(Modular Policy Framework)를 사용할 때 계층 3/4 클래스 맵으로
식별한 동작을 트래픽에 할당합니다.
service-policy(global)
정책 맵을 모든 인터페이스에서 전역적으로 활성화하거나 대상 인터
페이스에서 활성화합니다.
show service-policy
[user-statistics]
ID 방화벽에 대한 사용자 통계 스캔 또는 계정 관리를 활성화한 경우
구성된 서비스 정책에 대한 사용자 통계를 표시합니다.
show user-identity
ip-of-user [detail]
ID 방화벽에 대한 사용자 통계 스캔 또는 계정 관리를 활성화한 경우
지정된 사용자의 IP 주소에 대한 받은 패킷, 보낸 패킷 및 삭제 통계를
표시합니다.
show user-identity user
active [detail]
ID 방화벽에 대한 사용자 통계 스캔 또는 계정 관리를 활성화한 경우
활성 사용자에 대해 지정된 기간 동안의 받은 패킷, 보낸 패킷 및 삭제
통계를 표시합니다.
show user-identity
user-of-ip [detail]
ID 방화벽에 대한 사용자 통계 스캔 또는 계정 관리를 활성화한 경우
지정된 IP 주소의 사용자에 대한 받은 패킷, 보낸 패킷 및 삭제 통계를
표시합니다.
user-identity enable
ID 방화벽 인스턴스를 만듭니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-72
3장
uc-ime through username-prompt 명령
user-storage
user-storage
클라이언트리스 SSL VPN 세션 간의 개인 설정된 사용자 정보를 저장하려면 group-policy webvpn
컨피그레이션 모드에서 user storage 명령을 사용합니다. 사용자 저장소를 비활성화하려면 이 명
령의 no 형식을 사용합니다.
user-storage NETFS-location
no user-storage]
구문 설명
NETFS-location
proto://user:password@host:port/path 형식으로 파일 시스템 대상을 지
정합니다.
사용자 이름 및 비밀번호가 NETFS-location에 포함된 경우 비밀번호
입력은 일반 텍스트로 처리됩니다.
기본값
사용자 저장소는 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy webvpn 모드
명령 기록
사용 지침
•
예
투명
—
단일
•
예
상황
시스템
—
—
릴리스
8.0(2)
수정 사항
이 명령이 도입되었습니다.
8.4(6)
비밀번호가 show-run 중에 일반 텍스트로 표시되는 것이 방지되었습니다.
user-storage를 사용하면 ASA 플래시가 아닌 다른 위치에 캐시된 자격 증명 및 쿠키를 저장할 수 있
습니다. 이 명령은 클라이언트리스 SSL VPN 사용자의 개인 책갈피에 대한 SSO(Single Sign On)을
제공합니다. 사용자 자격 증명은 FTP/CIFS/SMB 서버에 암호 해독이 불가능하지 않은
<user_id>.cps 파일로 암호화된 형식으로 저장됩니다.
사용자 이름, 비밀번호 및 사전 공유 키가 컨피그레이션에 표시되지만 ASA는 내부 알고리즘을 사
용하여 이 정보를 암호화된 형식으로 저장하므로 보안 위험이 없습니다.
데이터가 외부 FTP 또는 SMB 서버에 암호화되어 있는 경우 책갈피 추가를 선택하여 포털 페이지
내에 개인 책갈피(예: user-storage cifs://jdoe:test@10.130.60.49/SharedDocs)를 정의할 수 있습니다.
모든 플러그인 프로토콜에 대해 개인 설정된 URL도 만들 수 있습니다.
참고
모두 동일한 FTP/CIFS/SMB 서버를 참조하고 동일한 “storage-key”를 사용하는 ASA 클러
스터가 있는 경우 클러스터의 ASA 중 하나를 통해 책갈피에 액세스할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-73
3장
uc-ime through username-prompt 명령
user-storage
예
다음 예에서는 newuser라는 사용자에 대해 anyfiler02a/new_share 경로의 anyshare라는 파일 공유에
비밀번호가 12345678인 사용자 저장소를 설정하는 방법을 보여 줍니다.
ciscoasa(config)# wgroup-policy DFLTGrpPolicy attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# user-storage cifs://newuser:12345678@anyfiler02a/new_share
ciscoasa(config-group_webvpn)#
관련 명령
명령
storage-key
storage-objects
설명
세션 간에 저장되는 데이터를 보호할 저장소 키를 지정합
니다.
세션 간에 저장되는 데이터의 스토리지 개체를 구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-74
3장
uc-ime through username-prompt 명령
username(8.4(3) 이하)
username(8.4(3) 이하)
ASA 데이터베이스에 사용자를 추가하려면 전역 컨피그레이션 모드에서 username 명령을 입력합
니다. 사용자를 제거하려면 제거할 사용자 이름과 함께 이 명령의 no 형식을 사용합니다. 모든 사
용자를 제거하려면 사용자 이름을 추가하지 않고 이 명령의 no 버전을 사용합니다.
username name {nopassword | password password [mschap | encrypted | nt-encrypted]}
[privilege priv_level]
no username name
구문 설명
encrypted
비밀번호가 암호화됨을 나타냅니다(mschap를 지정하지 않은 경우).
username 명령에서 비밀번호를 정의할 때 ASA에서는 비밀번호를 컨피
그레이션에 저장할 때 암호화하여 보안을 강화합니다. show
running-config 명령을 입력한 경우 username 명령은 실제 비밀번호를
표시하지 않습니다. 그 대신 암호화된 비밀번호를 표시하고 그 뒤에
encrypted 키워드를 표시합니다. 예를 들어 비밀번호로 “test”를 입력하
면 다음과 유사한 show running-config 명령 출력이 표시됩니다.
username pat password rvEdRh0xPC8bel7s encrypted
CLI에서 실제로 encrypted 키워드를 입력하는 경우는 컨피그레이션을
잘라내어 다른 ASA에 붙여넣고 동일한 비밀번호를 사용하려는 경우뿐
입니다.
mschap
비밀번호를 입력한 후 해당 비밀번호가 유니코드로 변환되고 MD4를 통
해 해시되도록 지정합니다. MSCHAPv1 또는 MSCHAPv2를 사용하여 사
용자를 인증하는 경우 이 키워드를 사용합니다.
name
4~64자의 문자열로 사용자 이름을 지정합니다.
nopassword
이 사용자에게 비밀번호가 필요 없음을 나타냅니다.
nt-encrypted
MSCHAPv1 또는 MSCHAPv2에서 사용하도록 비밀번호가 암호화됨을
나타냅니다. 사용자를 추가 할 때 mschap 키워드를 지정한 경우에는
show running-config 명령을 사용하여 컨피그레이션을 볼 때 encrypted
키워드 대신 이 키워드가 표시됩니다.
username 명령에서 비밀번호를 정의할 때 ASA에서는 비밀번호를 컨피
그레이션에 저장할 때 암호화하여 보안을 강화합니다. show
running-config 명령을 입력한 경우 username 명령은 실제 비밀번호를
표시하지 않습니다. 그 대신 암호화된 비밀번호를 표시하고 그 뒤에
nt-encrypted 키워드를 표시합니다. 예를 들어 비밀번호로 “test”를 입력
하면 다음과 유사한 show running-config 화면이 표시됩니다.
username pat password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted
CLI에서 실제로 nt-encrypted 키워드를 입력하는 경우는 컨피그레이션
을 잘라내어 다른 ASA에 붙여넣고 동일한 비밀번호를 사용하려는 경우
뿐입니다.
password password
3~32자의 문자열로 비밀번호를 설정합니다.
privilege priv_level
이 사용에 대한 권한 수준을 0부터 15까지 오름차순으로 설정합니다. 기본
권한 수준은 2입니다. 이 권한 수준은 권한 부여 명령과 함께 사용됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-75
3장
uc-ime through username-prompt 명령
username(8.4(3) 이하)
기본값
기본 권한 수준은 2입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
•
예
투명
•
예
단일
•
예
상황
•
예
릴리스
7.0.1
이 명령이 도입되었습니다.
7.2(1)
mschap 및 nt-encrypted 키워드가 추가되었습니다.
시스템
—
수정 사항
login 명령에서는 인증에 이 데이터베이스를 사용합니다.
CLI에 액세스할 수 있으며 특권 모드를 시작하지 않으려는 사용자를 로컬 데이터베이스에 추가하
려면 권한 부여 명령을 활성화해야 합니다. 자세한 내용은 aaa authorization command 명령을 참
고하십시오. 권한 부여 명령을 사용하지 않을 경우 사용자는 자신의 비밀번호를 사용하여 CLI에서
특권 EXEC 모드(및 모든 명령)에 액세스할 수 있습니다(권한 수준이 2(기본값)이상인 경우). 또는
사용자가 login 명령을 사용할 수 없도록 AAA 인증을 사용하거나, enable 비밀번호를 사용하여 특
권 EXEC 모드에 액세스할 수 있는 사용자를 제어할 수 있도록 모든 로컬 사용자를 수준 1로 설정
할 수 있습니다.
기본적으로 이 명령을 사용하여 추가하는 VPN 사용자에게는 특성 또는 그룹 정책 연결이 없습니
다. username attributes 명령을 사용하여 모든 값을 명시적으로 구성해야 합니다.
비밀번호 인증 정책이 활성화된 경우에는 더 이상 username 명령을 사용하여 자신의 비밀번호를
변경하거나 사용자 고유의 계정을 삭제할 수 없습니다. 그러나 change-password 명령을 사용하여
비밀번호를 변경할 수 있습니다.
예
다음 예에서는 비밀번호가 12345678이고 권한 수준이 12인 “anyuser”라는 사용자를 구성하는 방법
을 보여 줍니다.
ciscoasa(config)# username anyuser password 12345678 privilege 12
관련 명령
명령
aaa authorization command
설명
권한 부여 명령을 구성합니다.
clear config username
특정 사용자 또는 모든 사용자에 대한 컨피그레이션을 지웁니다.
show running-config username 특정 사용자 또는 모든 사용자에 대한 실행 중인 컨피그레이션
을 표시합니다.
username attributes
특정 사용자에 대한 특성을 구성할 수 있는 username attributes
모드를 시작합니다.
webvpn
지정된 그룹에 대한 WebVPN 특성을 구성할 수 있는
config-group-webvpn 모드를 시작합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-76
3장
uc-ime through username-prompt 명령
username(8.4(4.1) 이상)
username(8.4(4.1) 이상)
ASA 데이터베이스에 사용자를 추가하려면 전역 컨피그레이션 모드에서 username 명령을 입력합
니다. 사용자를 제거하려면 제거할 사용자 이름과 함께 이 명령의 no 형식을 사용합니다. 모든 사
용자를 제거하려면 사용자 이름을 추가하지 않고 이 명령의 no 버전을 사용합니다. 시스템에서 부
팅 시 또는 실행 중인 컨피그레이션에 파일을 복사할 때 비밀번호 생성 날짜를 복원할 수 있도록 비
대화형 컨피그레이션 모드에서 username 명령을 입력합니다.
[no] username name {nopassword | password password [mschap | encrypted | nt-encrypted]}
[privilege priv_level]
username name [password-date date]
구문 설명
encrypted
비밀번호가 암호화됨을 나타냅니다(mschap를 지정하지 않은 경우).
username 명령에서 비밀번호를 정의할 때 ASA에서는 비밀번호를 컨피
그레이션에 저장할 때 암호화하여 보안을 강화합니다. show
running-config 명령을 입력한 경우 username 명령은 실제 비밀번호를
표시하지 않습니다. 그 대신 암호화된 비밀번호를 표시하고 그 뒤에
encrypted 키워드를 표시합니다. 예를 들어 비밀번호로 “test”를 입력하
면 다음과 유사한 show running-config 명령 출력이 표시됩니다.
username pat password rvEdRh0xPC8bel7s encrypted
CLI에서 실제로 encrypted 키워드를 입력하는 경우는 컨피그레이션을
잘라내어 다른 ASA에 붙여넣고 동일한 비밀번호를 사용하려는 경우뿐
입니다.
mschap
비밀번호를 입력한 후 해당 비밀번호가 유니코드로 변환되고 MD4를 통
해 해시되도록 지정합니다. MSCHAPv1 또는 MSCHAPv2를 사용하여 사
용자를 인증하는 경우 이 키워드를 사용합니다.
name
4~64자의 문자열로 사용자 이름을 지정합니다.
nopassword
이 사용자에게 비밀번호가 필요 없음을 나타냅니다.
nt-encrypted
MSCHAPv1 또는 MSCHAPv2에서 사용하도록 비밀번호가 암호화됨을
나타냅니다. 사용자를 추가 할 때 mschap 키워드를 지정한 경우에는
show running-config 명령을 사용하여 컨피그레이션을 볼 때 encrypted
키워드 대신 이 키워드가 표시됩니다.
username 명령에서 비밀번호를 정의할 때 ASA에서는 비밀번호를 컨피
그레이션에 저장할 때 암호화하여 보안을 강화합니다. show
running-config 명령을 입력한 경우 username 명령은 실제 비밀번호를
표시하지 않습니다. 그 대신 암호화된 비밀번호를 표시하고 그 뒤에
nt-encrypted 키워드를 표시합니다. 예를 들어 비밀번호로 “test”를 입력
하면 다음과 유사한 show running-config 화면이 표시됩니다.
username pat password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted
CLI에서 실제로 nt-encrypted 키워드를 입력하는 경우는 컨피그레이션
을 잘라내어 다른 ASA에 붙여넣고 동일한 비밀번호를 사용하려는 경우
뿐입니다.
password password
3~32자의 문자열로 비밀번호를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-77
3장
uc-ime through username-prompt 명령
username(8.4(4.1) 이상)
password-date date
시스템이 부팅하는 동안 사용자 이름을 읽을 때 비밀번호 생성 날짜를 복
원할 수 있도록 합니다. 없는 경우 비밀번호 날짜가 현재 날짜로 설정됩
니다. 날짜는 mmm-dd-yyyy 형식입니다.
privilege priv_level
이 사용에 대한 권한 수준을 0부터 15까지 오름차순으로 설정합니다. 기
본 권한 수준은 2입니다. 이 권한 수준은 권한 부여 명령과 함께 사용됩
니다.
기본값
기본 권한 수준은 2입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
사용 지침
라우팅됨
투명
단일
상황
시스템
전역 컨피그레이션
•
예
•
예
•
예
•
예
—
비대화형 컨피그레이션
•
예
•
예
•
예
•
예
—
릴리스
7.0.1
수정 사항
이 명령이 도입되었습니다.
7.2(1)
mschap 및 nt-encrypted 키워드가 추가되었습니다.
9.1(2)
password-date date 옵션이 추가되었습니다.
login 명령에서는 인증에 이 데이터베이스를 사용합니다.
CLI에 액세스할 수 있으며 특권 모드를 시작하지 않으려는 사용자를 로컬 데이터베이스에 추가하
려면 권한 부여 명령을 활성화해야 합니다. 자세한 내용은 aaa authorization command 명령을 참
고하십시오. 권한 부여 명령을 사용하지 않을 경우 사용자는 자신의 비밀번호를 사용하여 CLI에서
특권 EXEC 모드(및 모든 명령)에 액세스할 수 있습니다(권한 수준이 2(기본값)이상인 경우). 또는
사용자가 login 명령을 사용할 수 없도록 AAA 인증을 사용하거나, enable 비밀번호를 사용하여 특
권 EXEC 모드에 액세스할 수 있는 사용자를 제어할 수 있도록 모든 로컬 사용자를 수준 1로 설정
할 수 있습니다.
기본적으로 이 명령을 사용하여 추가하는 VPN 사용자에게는 특성 또는 그룹 정책 연결이 없습니
다. username attributes 명령을 사용하여 모든 값을 명시적으로 구성해야 합니다.
비밀번호 인증 정책이 활성화된 경우에는 더 이상 username 명령을 사용하여 자신의 비밀번호를
변경하거나 사용자 고유의 계정을 삭제할 수 없습니다. 그러나 change-password 명령을 사용하여
비밀번호를 변경할 수 있습니다.
사용자 이름 비밀번호 날짜를 표시하려면 show running-config all username 명령을 사용합니다.
참고
CLI 프롬프트에서는 password-date 값을 입력할 수 없으므로 이 키워드에 대한 대화형 도움말은
없습니다. 비밀번호 날짜는 비밀번호 정책 수명이 0이 아닌 경우에만 시작 컨피그레이션에 저장됩
니다. 즉, 비밀번호 날짜는 비밀번호 만료가 구성된 경우에만 저장됩니다. password-date 옵션을
사용하여 사용자가 비밀번호 생성 날짜를 변경하지 못하도록 할 수 없습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-78
3장
uc-ime through username-prompt 명령
username(8.4(4.1) 이상)
예
다음 예에서는 비밀번호가 12345678이고 권한 수준이 12인 “anyuser”라는 사용자를 구성하는 방법
을 보여 줍니다.
ciscoasa(config)# username anyuser password 12345678 privilege 12
관련 명령
명령
aaa authorization command
설명
권한 부여 명령을 구성합니다.
clear config username
특정 사용자 또는 모든 사용자에 대한 컨피그레이션을 지웁니다.
show running-config username
특정 사용자 또는 모든 사용자에 대한 실행 중인 컨피그레이션
을 표시합니다.
username attributes
특정 사용자에 대한 특성을 구성할 수 있는 username attributes
모드를 시작합니다.
webvpn
지정된 그룹에 대한 WebVPN 특성을 구성할 수 있는
config-group-webvpn 모드를 시작합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-79
3장
uc-ime through username-prompt 명령
username attributes
username attributes
username attributes 모드를 시작하려면 username 컨피그레이션 모드에서 username attributes 명령
을 사용합니다. 특정 사용자에 대한 모든 특성을 제거하려면 이 명령의 no 형식을 사용하고 사용자
이름을 추가합니다. 모든 사용자에 대한 모든 특성을 제거하려면 사용자 이름을 추가하지 않고 이
명령의 no 형식을 사용합니다. 특성 모드를 통해 지정된 사용자에 대한 특성-값 쌍을 구성할 수 있
습니다.
username {name} attributes
no username [name] attributes
구문 설명
name
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
사용자의 이름을 제공합니다.
방화벽 모드
보안 상황
다중
명령 모드
username 컨피그레이션
명령 기록
사용 지침
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
8.0(2)
service-type 특성이 추가되었습니다.
9.1(2)
ssh authentication {pkf [ nointeractive ] | publickey key [ hashed ]} 특
성이 추가되었습니다.
내부 사용자 인증 데이터베이스는 username 명령과 함께 입력된 사용자로 구성됩니다. login 명령
에서는 인증에 이 데이터베이스를 사용합니다. username 명령 또는 username attributes 명령을 사
용하여 사용자 이름 특성을 구성할 수 있습니다.
username 컨피그레이션 모드의 명령 구문에는 일반적으로 다음과 같은 특성이 있습니다.
•
no 형식은 실행 중인 컨피그레이션에서 특성을 제거합니다.
•
none 키워드도 실행 중인 컨피그레이션에서 특성을 제거합니다. 그러나 이렇게 하려면 상속하
지 못하도록 특성을 null 값으로 설정해야 합니다.
•
부울 특성에는 enabled 및 disabled 설정에 대한 명시적 구문이 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-80
3장
uc-ime through username-prompt 명령
username attributes
username attributes 명령은 다음과 같은 특성을 구성할 수 있는 username attributes 모드를 시작합
니다.
특성
group-lock
기능
사용자가 연결해야 하는 기존 터널 그룹의 이름을 지정합니다.
password-storage
클라이언트 시스템에서 로그인 비밀번호의 저장을 활성화하
거나 비활성화합니다.
service-type [remote-access |
admin | nas-prompt]
콘솔 로그인을 제한하고 적절한 수준이 할당된 사용자에 대
해 로그인을 활성화합니다. remote-access 옵션은 원격 액세
스를 위한 기본 AAA 서비스를 지정합니다. admin 옵션은
AAA 서비스, 로그인 콘솔 권한, EXEC 모드 권한, 활성화 권
한 및 CLI 권한을 지정합니다. nas-prompt 옵션은 AAA 서비
스, 로그인 콘솔 권한 및 EXEC 모드 권한을 지정하지만 활성
화 권한은 지정하지 않습니다.
ssh authentication {pkf
[nointeractive ] | publickey key
[hashed]}
사용자별로 공개 키 인증을 활성화합니다. key 인수 값은 다음
을 참조할 수 있습니다.
•
key 인수를 제공하고 해시된 태그를 지정하지 않은 경우
키 값은 SSH-RSA 원시 키(즉, 인증서가 없음)를 생성할
수 있는 SSH 키 생성 소프트웨어에서 생성된 Base 64로
인코딩된 공개 키여야 합니다. Base 64로 인코딩된 공개
키를 전송하면 이 키는 SHA-256을 통해 해시되며, 해당
32바이트 해시가 모든 추가 비교에 사용됩니다.
•
key 인수를 제공하고 해시된 태그를 지정한 경우 키 값은
이전에 SHA-256으로 해시되고 길이가 32바이트이며, 각
바이트가 콜론으로 구분(구문 분석을 위해)되어 있습니다.
pkf 옵션은 4096비트 RSA 키를 SSH PKF(공개 키 파일)로 사
용하여 인증할 수 있도록 합니다. 이 옵션은 4096비트 RSA 키
에 국한되지 않고 4096비트 RSA 키보다 작거나 같은 모든 크
기에 사용할 수 있습니다.
nointeractive 옵션은 SSH 공개 키 형식의 키를 가져올 때 모
든 프롬프트를 표시하지 않도록 설정합니다. 이 비대화형 데
이터 입력 모드는 ASDM 전용으로 제공됩니다.
key 필드와 hashed 키워드는 publickey 옵션에서만 사용할 수
있으며, nointeractive 키워드는 pkf 옵션에서만 사용할 수 있
습니다.
컨피그레이션을 저장하면 해시된 키 값이 컨피그레이션에 저
장되며 ASA가 재부팅될 때 사용됩니다.
참고
장애 조치가 활성화된 경우 PKF 옵션을 사용할 수 있
지만 PKF 데이터가 대기 시스템에 자동으로 복제되
지는 않습니다. 장애 조치 쌍의 대기 시스템에 PKF 설
정을 동기화하려면 write standby 명령을 입력해야 합
니다.
vpn-access-hours
구성된 시간 범위 정책의 이름을 지정합니다.
vpn-filter
사용자별 ACL의 이름을 지정합니다.
vpn-framed-ip-address
클라이언트에 할당할 IP 주소 및 넷마스크를 지정합니다.
vpn-group-policy
특성을 상속할 그룹 정책의 이름을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-81
3장
uc-ime through username-prompt 명령
username attributes
특성
vpn-idle-timeout [alert-interval]
기능
유휴 시간 제한(분)을 지정하거나, none을 지정하여 유휴 시
간 제한을 비활성화합니다. 선택적으로 사전 시간 제한 알림
간격을 지정합니다.
vpn-session-timeout
[alert-interval]
최대 사용자 연결 시간(분)을 지정하거나, 무제한 시간의 경
우 none을 지정합니다. 선택적으로 사전 시간 제한 알림 간격
을 지정합니다.
vpn-simultaneous-logins
허용되는 최대 동시 로그인 수를 지정합니다.
vpn-tunnel-protocol
허용되는 터널링 프로토콜을 지정합니다.
webvpn
WebVPN 특성을 구성할 수 있는 username webvpn
configuration 모드를 시작합니다.
username webvpn 컨피그레이션 모드에서 username attributes 명령을 입력한 다음 webvpn 명령을
입력하여 사용자 이름에 대한 webvpn-mode 특성을 구성합니다. 자세한 내용은 webvpn 명령
(group-policy attributes 및 username attributes 모드)을 참고하십시오.
예
다음 예에서는 “anyuser”라는 사용자에 대한 username attributes 컨피그레이션 모드를 시작하는 방
법을 보여 줍니다.
ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)#
관련 명령
명령
clear config username
설명
사용자 이름 데이터베이스를 지웁니다.
show running-config username
특정 사용자 또는 모든 사용자에 대한 실행 중인 컨피그레이
션을 표시합니다.
username
ASA 데이터베이스에 사용자를 추가합니다.
webvpn
지정된 그룹에 대한 WebVPN 특성을 구성할 수 있는 webvpn
컨피그레이션 모드를 시작합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-82
3장
uc-ime through username-prompt 명령
username-from-certificate
username-from-certificate
권한 부여를 위한 사용자 이름으로 사용할 인증서의 필드를 지정하려면 tunnel-group
general-attributes 모드에서 username-from-certificate 명령을 사용합니다. 피어 인증서의 DN이 권
한 부여를 위한 사용자 이름으로 사용됩니다.
컨피그레이션에서 이 특성을 제거하고 기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
username-from-certificate {primary-attr [secondary-attr] | use-entire-name}
no username-from-certificate
구문 설명
기본값
primary-attr
인증서에서 권한 부여 쿼리를 위한 사용자 이름을 파생시키는 데 사용
할 특성을 지정합니다. pre-fill-username이 활성화된 경우 파생된 이름
을 인증 쿼리에서도 사용할 수 있습니다.
secondary-attr
(선택 사항) 디지털 인증서에서 인증 또는 권한 부여 쿼리를 위한 사용
자 이름을 파생시키는 데 기본 특성과 함께 사용할 추가 특성을 지정합
니다. pre-fill-username이 활성화된 경우 파생된 이름을 인증 쿼리에서
도 사용할 수 있습니다.
use-entire-name
ASA에서 전체 주체 DN(RFC1779)을 사용하여 디지털 인증서에서 권한
부여 쿼리를 위한 이름을 파생시키도록 지정합니다.
use-script
ASDM에서 생성된 스크립트 이름을 통해 인증서에서 DN 필드를 추출
하여 사용자 이름으로 사용하도록 지정합니다.
기본 특성의 기본값은 CN(공통 이름)입니다.
보조 특성의 기본값은 OU(조직 컨피그레이션 단위)입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
tunnel-group general-attributes
컨피그레이션
명령 기록
사용 지침
릴리스
8.0(4)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 사용자 이름으로 사용할 인증서의 필드를 선택합니다. 릴리스 8.0(4) 이상에서 더 이상
사용되지 않는 authorization-dn-attributes 명령을 대체합니다. username-from-certificate 명령은
보안 어플라이언스에서 지정된 인증서 필드를 사용자 이름/비밀번호 권한 부여를 위한 사용자 이
름으로 사용하도록 강제합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-83
3장
uc-ime through username-prompt 명령
username-from-certificate
인증서에서 사용자 이름 미리 채우기 기능에서 파생된 이 사용자 이름을 사용자 이름/비밀번호 인
증 또는 권한 부여에 사용하려면 tunnel-group webvpn-attributes 모드에서 pre-fill-username 명령도
구성해야 합니다. 즉, 사용자 이름 미리 채우기 기능을 사용하려면 두 명령을 모두 구성해야 합니다.
기본 및 보조 특성에 사용할 수 있는 값은 다음과 같습니다.
특성
C
예
정의
Country(국가): 2자로 된 국가 약어입니다. 이러한 코드는 ISO 3166 국가
약어를 따릅니다.
CN
Common Name(공통 이름): 사람, 시스템 또는 기타 실체의 이름입니다.
보조 특성으로는 사용할 수 없습니다.
DNQ
Domain Name Qualifier(도메인 이름 한정자)입니다.
EA
E-mail Address(이메일 주소)입니다.
GENQ
Generational Qualifier(세대 한정자)입니다.
GN
Given Name(이름)입니다.
I
Initials(이니셜)입니다.
L
Locality(구/군/시): 조직이 있는 구/군/시입니다.
N
Name(이름)입니다.
O
Organization(조직): 회사, 기관, 에이전시, 협회 또는 기타 실체의 이름입
니다.
OU
Organizational Unit(조직 컨피그레이션 단위): 조직(O) 내의 하위 그룹입
니다.
SER
Serial Number(일련 번호)입니다.
SN
Surname(성)입니다.
SP
State/Province(주/도): 조직이 있는 주/도입니다.
T
Title(직함)입니다.
UID
User Identifier(사용자 ID)입니다.
UPN
User Principal Name(사용자 계정 이름)입니다.
use-entire-name
전체 DN 이름을 사용합니다. 보조 특성으로는 사용할 수 없습니다.
use-script
ASDM에서 생성된 스크립트 파일을 사용합니다.
전역 컨피그레이션 모드에서 입력된 다음 예제에서는 remotegrp라는 IPsec 원격 액세스 터널 그룹
을 만들고, CN(공통 이름)을 기본 특성, OU를 보조 특성으로 사용하여 디지털 인증서에서 권한 부
여 쿼리를 위한 이름을 파생시키도록 지정합니다.
ciscoasa(config)# tunnel-group remotegrp type ipsec_ra
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-general)# username-from-certificate CN OU
ciscoasa(config-tunnel-general)#
다음 예에서는 tunnel-group 특성을 수정하여 사용자 이름 미리 채우기를 구성하는 방법을 보여 줍
니다.
username-from-certificate {use-entire-name | use-script | <primary-attr>} [secondary-attr]
secondary-username-from-certificate {use-entire-name | use-script | <primary-attr>}
[secondary-attr] ; used only for double-authentication
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-84
3장
uc-ime through username-prompt 명령
username-from-certificate
관련 명령
명령
pre-fill-username
설명
사용자 이름 미리 채우기 기능을 활성화합니다.
show running-config
tunnel-group
지정된 tunnel-group 컨피그레이션을 표시합니다.
tunnel-group
general-attributes
명명된 tunnel-group의 일반 특성을 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-85
3장
uc-ime through username-prompt 명령
username-prompt
username-prompt
보안 어플라이언스에 연결할 때 WebVPN 사용자에게 표시되는 WebVPN 페이지 로그인 상자의 사
용자 이름 프롬프트를 사용자 지정하려면 webvpn customization 모드에서 username-prompt 명령
을 사용합니다. 컨피그레이션에서 명령을 제거하고 값이 상속되도록 하려면 이 명령의 no 형식을
사용합니다.
username-prompt {text | style} value
[no] username-prompt {text | style} value
구문 설명
기본값
text
텍스트를 변경하도록 지정합니다.
style
스타일을 변경하도록 지정합니다.
value
표시할 실제 텍스트(최대 256자) 또는 CSS(Cascading Style Sheet) 매개변
수(최대 256자)입니다.
사용자 이름 프롬프트의 기본 텍스트는 “USERNAME:”입니다.
사용자 이름 프롬프트의 기본 스타일은 color:black;font-weight:bold;text-align:right입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨 투명
webvpn customization
명령 기록
사용 지침
릴리스
7.1(1)
•
예
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
style 옵션은 유효한 모든 CSS(Cascading Style Sheet) 매개변수로 표현됩니다. 이러한 매개변수에
대한 설명은 이 문서의 범위를 벗어납니다. CSS 매개변수에 대한 자세한 내용은
W3C(World Wide Web Consortium) 웹사이트(www.w3.org)에서 CSS 사양을 참조하십시오. CSS 2.1
사양의 부록 F(www.w3.org/TR/CSS21/propidx.html)에는 CSS 매개변수 목록이 포함되어 있습니다.
다음은 WebVPN 페이지에서 수행할 수 있는 가장 일반적인 변경(페이지 색상 변경) 작업에 대한 몇
가지 팁입니다.
•
쉼표로 구분된 RGB 값, HTML 색상 값 또는 색상 이름(HTML에서 인식되는 경우)을 사용할 수
있습니다.
•
RGB 형식은 0,0,0이며, 각 색상(빨간색, 녹색, 파란색)의 십진수 범위는 0~255입니다. 여기서
쉼표로 구분된 항목은 다른 색상과 조합할 각 색상의 강도를 나타냅니다.
•
HTML 형식은 16진수 형식의 6자리 숫자인 #000000입니다. 여기서 첫 번째와 두 번째는 빨간
색, 세 번째와 네 번째는 녹색, 다섯 번째와 여섯 번째는 파란색을 나타냅니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-86
3장
uc-ime through username-prompt 명령
username-prompt
참고
예
WebVPN 페이지를 쉽게 사용자 지정하려면 색상 견본 및 미리보기 기능 등 스타일 요소 컨피그레
이션에 대한 편리한 기능이 있는 ASDM을 사용하는 것이 좋습니다.
다음 예에서는 텍스트를 “Corporate Username:”으로 변경하고, 기본 스타일을 굵기가 증가하는 글
꼴 두께로 변경합니다.
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# customization cisco
ciscoasa(config-webvpn-custom)# username-prompt text Corporate Username:
ciscoasa(config-webvpn-custom)# username-prompt style font-weight:bolder
관련 명령
명령
group-prompt
WebVPN 페이지의 그룹 프롬프트를 사용자 지정합니다.
설명
password-prompt
WebVPN 페이지의 비밀번호 프롬프트를 사용자 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-87
3장
username-prompt
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
3-88
uc-ime through username-prompt 명령
4
장
validate-attribute through vpnsetup 명령
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-1
validate-attribute through vpnsetup 명령
4장
validate-attribute
validate-attribute
RADIUS 계정 관리를 사용하여 RADIUS 특성을 확인하려면 inspect radius-accounting 명령을 사
용하여 액세스할 수 있는 radius-accounting 매개변수 컨피그레이션 모드에서 validate attribute 명
령을 사용합니다.
이 옵션은 기본적으로 비활성화되어 있습니다.
validate-attribute [attribute_number]
no validate-attribute [attribute_number]
구문 설명
attribute_number
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
RADIUS 계정 관리를 사용하여 확인할 RADIUS 특성입니다. 값 범위는
1~191입니다. 공급업체별 특성은 지원되지 않습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
radius-accounting 매개변수 컨
피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
이 명령이 구성된 경우 보안 어플라이언스는 프레임 IP 특성 외에 이러한 특성에서도 일치 작업을
수행합니다. 이 명령의 여러 인스턴스가 허용됩니다.
RADIUS 특성 유형의 목록은 다음 웹사이트에서 확인할 수 있습니다.
http://www.iana.org/assignments/radius-types
예
다음 예에서는 사용자 이름 RADIUS 특성에 대한 RADIUS 계정 관리를 활성화하는 방법을 보여 줍
니다.
ciscoasa(config)# policy-map type inspect radius-accounting ra
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# validate attribute 1
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-2
4장
validate-attribute through vpnsetup 명령
validate-attribute
관련 명령
명령
inspect
radius-accounting
설명
RADIUS 계정 관리에 대한 검사를 설정합니다.
parameters
검사 정책 맵의 매개변수를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-3
4장
validate-attribute through vpnsetup 명령
validation-policy(crypto ca trustpoint)
validation-policy(crypto ca trustpoint)
신뢰 지점을 사용하여 들어오는 사용자 연결과 연계된 인증서를 확인하는 조건을 지정하려면
crypto ca trustpoint 컨피그레이션 모드에서 validation-policy 명령을 사용합니다. 명명된 조건에 신
뢰 지점을 사용할 수 없도록 지정하려면 이 명령의 no 형식을 사용합니다.
[no] validation-policy {ssl-client | ipsec-client} [no-chain] [subordinate-only]
구문 설명
ipsec-client
신뢰 지점과 연계된 CA(인증 기관) 인증서 및 정책을 사용하여 IPsec 연결을
확인할 수 있도록 지정합니다.
no-chain
보안 장치에 없는 하위 인증서 체인을 비활성화합니다.
ssl-client
신뢰 지점과 연계된 CA(인증 기관) 인증서 및 정책을 사용하여 SSL 연결을
확인할 수 있도록 지정합니다.
subordinate-only
이 신뢰 지점이 나타내는 CA에서 직접 발급된 클라이언트 인증서의 검증을
비활성화합니다.
기본값
기본값 또는 동작은 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
crypto ca trustpoint 컨피
그레이션
명령 기록
사용 지침
릴리스
8.0(2)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
원격 액세스 VPN에서는 배포 요구 사항에 따라 SSL(Secure Sockets Layer), IPsec(IP 보안) 또는 둘
다를 사용하여 거의 모든 네트워크 애플리케이션 또는 리소스에 대한 액세스를 허용합니다.
validation-policy 명령을 사용하여 온보드 CA 인증서에 액세스할 수 있는 프로토콜 유형을 지정할
수 있습니다.
이 명령에서 no-chain 옵션을 사용하면 ASA가 신뢰 지점으로 구성되지 않은 하위 CA 인증서를 인
증하지 않습니다.
ASA에는 CA가 동일한 두 개의 신뢰 지점이 있을 수 있으며, 이 경우 동일한 CA에서 두 개의 ID 인
증서가 생성됩니다. 신뢰 지점이 이 기능을 활성화한 다른 신뢰 지점에 이미 연결된 CA에 인증된
경우에는 이 옵션이 자동으로 비활성화됩니다. 따라서 경로 검증 매개변수의 선택 시 모호함이 방
지됩니다. 사용자가 이 기능을 활성화한 다른 신뢰 지점에 이미 연결된 CA에 인증된 신뢰 지점에
서 이 기능을 활성화하려고 하면 작업이 허용되지 않습니다. 두 개의 신뢰 지점에서 이 설정을 활
성화하고 동일한 CA에 인증할 수 없습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-4
4장
validate-attribute through vpnsetup 명령
validation-policy(crypto ca trustpoint)
예
다음 예에서는 central 신뢰 지점에 대한 crypto ca trustpoint 컨피그레이션 모드를 시작하고 이를
SSL 신뢰 지점으로 지정합니다.
ciscoasa(config)# crypto ca trustpoint central
ciscoasa(config-ca-trustpoint)# validation-policy ssl
ciscoasa(config-ca-trustpoint)#
다음 예에서는 checkin1 신뢰 지점에 대한 crypto ca trustpoint 컨피그레이션 모드를 시작하고 지정
된 신뢰 지점의 하위 인증서를 허용하도록 설정합니다.
ciscoasa(config)# crypto ca trustpoint checkin1
ciscoasa(config-ca-trustpoint)# validation-policy subordinates-only
ciscoasa(config-ca-trustpoint)#
관련 명령
명령
crypto ca trustpoint
설명
신뢰 지점 컨피그레이션 모드를 시작합니다.
id-usage
신뢰 지점의 등록된 ID를 사용할 수 있는 방법을 지정합니다.
ssl trust-point
인터페이스에 대한 SSL 인증서를 나타내는 인증서 신뢰 지점을 지
정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-5
validate-attribute through vpnsetup 명령
4장
validation-usage
validation-usage
이 신뢰 지점으로 검증할 수 있는 사용 유형을 지정하려면 crypto ca trustpoint 컨피그레이션 모드
에서 validation-usage 명령을 사용합니다. 사용 유형을 지정하지 않으려면 이 명령의 no 형식을 사
용합니다.
validation-usage ipsec-client | ssl-client | ssl-server
no validation-usage ipsec-client | ssl-client | ssl-server
구문 설명
ipsec-client
이 신뢰 지점을 사용하여 IPsec 클라이언트 연결을 확인할 수 있음을 나타냅
니다.
ssl-client
이 신뢰 지점을 사용하여 SSL 클라이언트 연결을 확인할 수 있음을 나타냅
니다.
ssl-server
이 신뢰 지점을 사용하여 SSL 서버 인증서를 확인할 수 있음을 나타냅니다.
기본값
ipsec-client, ssl-client
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
crypto ca trustpoint 컨피그레이션
명령 기록
사용 지침
릴리스
9.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
client-types 명령을 대체하기 위해 이 명령이 도입되었습니다.
동일한 CA 인증서에 연계된 여러 신뢰 지점이 있는 경우 특정 클라이언트 유형에 대해 하나의 신
뢰 지점만 구성할 수 있습니다. 그러나 하나의 클라이언트 유형에 대해 신뢰 지점 중 하나를 구성
하고, 다른 클라이언트 유형에 대해 다른 신뢰 지점을 구성할 수 있습니다.
클라이언트 유형으로 이미 구성된 동일한 CA 인증서와 연계된 신뢰 지점이 있는 경우 동일한 클라
이언트 유형 설정으로 새 신뢰 지점을 구성할 수 없습니다. 이 명령의 no 형식은 모든 클라이언트
검증에 신뢰 지점을 사용할 수 없도록 설정을 지웁니다.
원격 액세스 VPN에서는 배포 요구 사항에 따라 SSL(Secure Sockets Layer), IPsec(IP 보안) 또는 둘
다를 사용하여 모든 네트워크 애플리케이션 또는 리소스에 대한 액세스를 허용합니다.
관련 명령
명령
crypto ca trustpoint
설명
지정된 신뢰 지점에 대한 crypto ca trustpoint 컨피그레이션 모드를 시작
합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-6
4장
validate-attribute through vpnsetup 명령
vdi
vdi
XenApp 및 XenDesktop VDI 서버가 ASA 서버를 통해 모바일 장치에서 실행되는 Citrix Receiver 애
플리케이션에 안전하게 원격 액세스할 수 있도록 하려면 vdi 명령을 사용합니다.
vdi type citrix url url domain domain username username password password
구문 설명
명령 모드
domain domain
가상화 인프라 서버에 로그인하는 데 사용되는 도메인입니다. 이 값은 클라
이언트리스 매크로일 수 있습니다.
password
password
가상화 인프라 서버에 로그인하는 데 사용되는 비밀번호입니다. 이 값은 클
라이언트리스 매크로일 수 있습니다.
type
VDI의 유형입니다. Citrix Receiver 유형의 경우 이 값은 citrix여야 합니다.
url url
http 또는 https, 호스트 이름, 포트 번호 및 XML 서비스의 경로를 포함하는
XenApp 또는 XenDesktop 서버의 전체 URL입니다.
username
username
가상화 인프라 서버에 로그인하는 데 사용되는 사용자 이름입니다. 이 값은
클라이언트리스 매크로일 수 있습니다.
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
Webvpn 컨피그레이션
명령 기록
사용 지침
릴리스
9.0(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
VDI 모델의 경우 관리자는 엔터프라이즈 애플리케이션과 함께 미리 로드된 데스크톱을 게시하고
엔드 유저는 이러한 데스크톱에 원격으로 액세스합니다. 이러한 가상화된 리소스는 사용자가
Citrix Access Gateway를 통하지 않고도 액세스할 수 있도록 이메일 등의 다른 리소스와 동일하게
표시됩니다. 사용자가 Citrix Receiver 모바일 클라이언트를 사용하여 ASA에 로그온하면 ASA는 미
리 정의된 Citrix XenApp 또는 XenDesktop 서버에 연결합니다. 관리자는 사용자가 Citrix 가상화 리
소스에 연결할 때 Citrix 서버의 주소 및 자격 증명을 가리키는 대신 ASA의 SSL VPN IP 주소 및 자
격 증명을 입력하도록 Citrix 서버의 주소 및 로그온 자격 증명을 그룹 정책에 구성해야 합니다.
ASA에서 자격 증명을 확인하면 수신기 클라이언트가 ASA를 통해 등록된 애플리케이션 검색을 시
작합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-7
4장
validate-attribute through vpnsetup 명령
vdi
지원되는 모바일 장치
예
•
iPad - Citrix Receiver 버전 4.x 이상
•
iPhone/iTouch - Citrix Receiver 버전 4.x 이상
•
Android 2.x 전화 - Citrix Receiver 버전 2.x 이상
•
Android 3.x 태블릿 - Citrix Receiver 버전 2.x 이상
•
Android 4.0 전화 - Citrix Receiver 버전 2.x 이상
사용자 이름과 그룹 정책을 둘 다 구성한 경우에는 사용자 이름 설정이 그룹 정책보다 우선적으로
적용됩니다.
configure terminal
group-policy DfltGrpPolicy attributes
webvpn
vdi type <citrix> url <url> domain <domain> username <username> password
<password>
configure terminal
username <username> attributes
webvpn
vdi type <citrix> url <url> domain <domain> username <username> password
<password>]
관련 명령
명령
debug webvpn citrix
설명
Citrix 기반 애플리케이션 및 데스크톱을 시작하는 프로세스에 대한 정보
를 제공합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-8
4장
validate-attribute through vpnsetup 명령
verify
verify
파일의 체크섬을 확인하려면 특권 EXEC 모드에서 verify 명령을 사용합니다.
verify path
verify [/md5 path] [md5-value]
구문 설명
/md5
(선택 사항) 지정된 소프트웨어 이미지의 MD5 값을 계산하고 표
시합니다. 이 값을 Cisco.com 에서 이 이미지에 사용할 수 있는 값
과 비교합니다.
md5-value
(선택 사항) 지정된 이미지에 대한 알려진 MD5 값입니다. MD5 값
을 명령에 지정한 경우에는 시스템에서 지정된 이미지의 MD5 값
을 계산하여 MD5 값이 일치하는지 또는 불일치가 있는지 확인하
는 메시지를 표시합니다.
• disk0:/[path/]filename
path
이 옵션은 ASA 5500 시리즈에만 사용할 수 있으며, 내부 플래
시 메모리을 나타냅니다. 또한 disk0 대신 별칭이 지정된 flash
를 사용할 수도 있습니다.
•
disk1:/[path/]filename
이 옵션은 ASA 5500 시리즈에만 사용할 수 있으며, 외부 플래
시 메모리 카드을 나타냅니다.
•
flash:/[path/]filename
이 옵션은 내부 플래시 카드를 나타냅니다. ASA 5500 시리즈
의 경우 flash는 disk0:의 별칭입니다.
•
ftp://[user[:password]@]server[:port]/[path/]filename[;type=xx]
type은 다음 키워드 중 하나일 수 있습니다.
– ap - ASCII 수동 모드
– an - ASCII 일반 모드
– ip - (기본값) 이진 수동 모드
– in - 이진 일반 모드
•
http[s]://[user[:password]@]server[:port]/[path/]filename
•
tftp://[user[:password]@]server[:port]/[path/]filename[;int=interf
ace_name]
서버 주소의 경로를 재정의하려면 인터페이스 이름을 지정합
니다.
경로 이름은 공백을 포함할 수 없습니다. 경로 이름에 공백이 있
으면 verify 명령 대신 tftp-server 명령에서 경로를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-9
validate-attribute through vpnsetup 명령
4장
verify
기본값
현재 플래시 장치가 기본 파일 시스템입니다.
참고
명령 모드
/md5 옵션을 지정한 경우 ftp, http, tftp 등의 네트워크 파일을 소스로 사용할 수 있습니다. /md5 옵
션 없이 verify 명령을 사용하면 플래시의 로컬 이미지만 확인할 수 있습니다.
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
—
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
verify 명령을 사용하여 파일을 사용하기 전에 해당 체크섬을 확인할 수 있습니다.
디스크에 분산되어 있는 각 소프트웨어 이미지는 전체 이미지에 단일 체크섬을 사용합니다. 이 체
크섬은 이미지가 플래시 메모리에 복사된 경우에만 표시되며, 이미지 파일이 디스크 간에 복사된
경우에는 표시되지 않습니다.
이미지를 플래시 메모리 또는 서버에 복사할 때 체크섬을 확인하려면 새 이미지를 로드하거나 복
제하기 전에 이미지의 체크섬 및 MD5 정보를 기록해야 합니다. 다양한 이미지 정보를 Cisco.com
에서 사용할 수 있습니다.
플래시 메모리의 내용을 보려면 show flash 명령을 사용합니다. 플래시 내용 목록에는 개별 파일의
체크섬이 포함되지 않습니다. 이미지를 플래시 메모리에 저장한 후 이미지 체크섬을 다시 계산하
고 확인하려면 verify 명령을 사용합니다. 그러나 verify 명령은 파일 시스템 저장된 이후의 파일 무
결성만 확인합니다. 손상된 이미지가 ASA로 전송되어 감지되지 않은 상태로 파일 시스템에 저장
될 수 있습니다. 손상된 이미지가 ASA로 전송된 경우 소프트웨어는 이미지가 손상되었음을 알려
줄 수 없으므로 파일이 성공적으로 확인됩니다.
MD5(message-digest5) 해시 알고리즘을 사용하여 파일을 검증하려면 /md5 옵션과 함께 verify 명
령을 사용합니다. MD5는 고유한 128비트 메시지 다이제스트를 생성하여 데이터 무결성을 확인하
는 데 사용되는 알고리즘입니다(RFC 1321에 정의됨). verify 명령의 /md5 옵션은 MD5 체크섬 값
을 이미지에 대해 알려진 MD5 체크섬 값과 비교하여 보안 어플라이언스 소프트웨어 이미지의 무
결성을 확인할 수 있도록 합니다. 이제 로컬 시스템 이미지 값과 비교할 수 있도록 모든 보안 어플
라이언스 소프트웨어 이미지의 MD5 값을 Cisco.com 에서 사용할 수 있습니다.
MD5 무결성 확인을 수행하려면 /md5 키워드를 사용하여 verify 명령을 실행합니다. 예를 들어
verify /md5 flash:cdisk.bin 명령을 실행하면 소프트웨어 이미지의 MD5 값이 계산되고 표시됩니
다. 이 값을 Cisco.com 에서 이 이미지에 사용할 수 있는 값과 비교합니다.
또는 먼저 Cisco.com 에서 MD5 값을 가져온 다음 명령 구문에서 이 값을 지정합니다. 예를 들어
verify /md5 flash:cdisk.bin 8b5f3062c4cacdbae72571440e962233 명령을 실행하면 MD5 값이 일치
하는지 또는 불일치가 있는지 확인하는 메시지가 표시됩니다. MD5 값의 불일치는 이미지가 손상
되었거나 잘못된 MD5 값이 입력되었음을 의미합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-10
4장
validate-attribute through vpnsetup 명령
verify
예
다음 예에서는 cdisk.bin이라는 이미지 파일에 사용된 verify 명령을 보여 줍니다. 일부 텍스트는 명
확성을 위해 제거되었습니다.
ciscoasa# verify cdisk.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Done!
Embedded Hash MD5: af5a155f3d5c128a271282c33277069b
Computed Hash MD5: af5a155f3d5c128a271282c33277069b
CCO Hash
MD5: b569fff8bbf8087f355aaf22ef46b782
Signature Verified
Verified disk0:/cdisk.bin
ciscoasa#
관련 명령
명령
copy
설명
파일을 복사합니다.
dir
시스템의 파일을 나열합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-11
validate-attribute through vpnsetup 명령
4장
verify-header
verify-header
알려진 IPv6 확장 헤더만 허용하고 IPv6 확장 헤더의 순서를 적용하려면 매개변수 컨피그레이션
모드에서 verify-header 명령을 사용합니다. 먼저 policy-map type inspect ipv6 명령을 입력하여 매
개변수 컨피그레이션 모드에 액세스할 수 있습니다. 이러한 매개변수를 비활성화하려면 이 명령
의 no 형식을 사용합니다.
verify-header {order | type}
no verify-header {order | type}
구문 설명
order
RFC 2460 사양에 정의된 대로 IPv6 확장 헤더의 순서를 적용합니다.
type
알려진 IPv6 확장 헤더만 허용합니다.
명령 기본값
order와 type 둘 다 기본적으로 활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
매개변수 컨피그레이션
명령 기록
릴리스
8.2(1)
•
예
투명
•
단일
예
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
이러한 매개변수는 기본적으로 활성화되어 있습니다. 비활성화하려면 no 키워드를 입력합니다.
예
다음 예에서는 IPv6 검사 정책 맵에 대한 order 및 type 매개변수를 비활성화합니다.
ciscoasa(config)# policy-map type inspect ipv6 ipv6-map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# no verify-header order
ciscoasa(config-pmap-p)# no verify-header type
관련 명령
명령
inspect ipv6
설명
IPv6 검사를 활성화합니다.
parameters
검사 정책 맵에 대한 매개변수 컨피그레이션 모드를 시작합니다.
policy-map type inspect ipv6
IPv6 검색 정책 맵을 만듭니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-12
4장
validate-attribute through vpnsetup 명령
version
version
ASA에서 전역적으로 사용되는 RIP 버전을 지정하려면 라우터 컨피그레이션 모드에서 version 명
령을 사용합니다. 기본값을 복원하려면 이 명령의 no 형식을 사용합니다.
version {1 | 2}
no version
구문 설명
1
RIP 버전 1을 지정합니다.
2
RIP 버전 2를 지정합니다.
기본값
ASA는 버전 1 및 버전 2 패킷을 허용하지만 버전 1 패킷만 보냅니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우터 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
인터페이스에서 rip send version 및 rip receive version 명령을 입력하여 인터페이스별로 전역 설
정을 재정의할 수 있습니다.
RIP 버전 2를 지정한 경우 네이버 인증을 활성화하고 MD5 기반 암호화를 사용하여 RIP 업데이트
를 인증할 수 있습니다.
예
다음 예에서는 ASA가 모든 인터페이스에서 RIP 버전 2 패킷을 보내고 받도록 구성합니다.
ciscoasa(config)# router rip
ciscoasa(config-router)# network 10.0.0.0
ciscoasa(config-router)# version 2
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-13
4장
validate-attribute through vpnsetup 명령
version
관련 명령
명령
rip send version
설명
특정 인터페이스에서 업데이트를 보낼 때 사용할 RIP 버전을 지정합니다.
rip receive version
특정 인터페이스에서 업데이트를 받을 때 허용할 RIP 버전을 지정합니다.
router rip
RIP 라우팅 프로세스를 활성화하고 해당 프로세스에 대해 라우터 컨피그
레이션 모드를 시작합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-14
4장
validate-attribute through vpnsetup 명령
virtual http
virtual http
가상 HTTP 서버를 구성하려면 전역 컨피그레이션 모드에서 virtual http 명령을 사용합니다. 가상
서버를 비활성화하려면 이 명령의 no 형식을 사용합니다.
virtual http ip_address [warning]
no virtual http ip_address [warning]
구문 설명
ip_address
ASA에서 가상 HTTP 서버의 IP 주소를 설정합니다. 이 주소가 ASA로 라우팅되는
사용되지 않는 주소인지 확인합니다.
warning
(선택 사항) HTTP 연결을 ASA로 리디렉션해야 함을 사용자에게 알립니다. 이 키워
드는 리디렉션이 자동으로 발생할 수 없는 텍스트 기반 브라우저에만 적용됩니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
7.2(2)
사용 지침
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이전 릴리스에서 사용되는 인라인 기본 HTTP 인증 방법이 리디렉션 방법으로
대체되었으므로 이 명령은 사용이 중단되었습니다. 더 이상 이 명령이 필요하
지 않습니다.
이제 aaa authentication listener 명령을 사용하여 기본 HTTP 인증(기본값)과
HTTP 리디렉션 중에 선택할 수 있으므로 이 명령이 다시 사용되었습니다. 리디
렉션 방법에는 연속 HTTP 인증을 위한 추가 명령이 필요 없습니다.
ASA에서 HTTP 인증(aaa authentication match 또는 aaa authentication include 명령 참고)을 사용
하는 경우 ASA는 기본적으로 기본 HTTP 인증을 사용합니다. redirect 키워드와 함께 aaa
authentication listener 명령을 사용하여 ASA가 HTTP 연결을 ASA 자체에서 생성한 웹 페이지로
리디렉션하도록 인증 방법을 변경할 수 있습니다.
그러나 기본 HTTP 인증을 계속 사용하는 경우에는 연속 HTTP 인증이 있을 때 virtual http 명령이
필요할 수도 있습니다.
대상 HTTP 서버가 ASA 이외에 인증을 요구하는 경우 virtual http 명령을 사용하면 ASA(AAA 서
버를 통해) 및 HTTP 서버에서 별도로 인증할 수 있습니다. 가상 HTTP를 사용하지 않으면 ASA에
인증하는 데 사용한 동일한 사용자 이름 및 비밀번호가 HTTP 서버로 전송됩니다. HTTP 서버 사용
자 이름 및 비밀번호에 대한 프롬프트가 별도로 표시되지 않습니다. 사용자 이름 및 비밀번호가
AAA 서버와 HTTP 서버에 대해 동일하지 않으면 HTTP 인증에 실패합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-15
4장
validate-attribute through vpnsetup 명령
virtual http
이 명령은 AAA 인증이 필요한 모든 HTTP 연결을 ASA의 가상 HTTP 서버로 리디렉션합니다. ASA
는 AAA 서버 사용자 이름 및 비밀번호를 묻는 프롬프트를 표시합니다. AAA 서버가 사용자를 인
증한 후 ASA는 HTTP 연결을 원래 서버로 다시 리디렉션하지만 AAA 서버 사용자 이름 및 비밀번
호는 포함하지 않습니다. 사용자 이름 및 비밀번호가 HTTP 패킷에 포함되어 있지 않기 때문에
HTTP 서버는 사용자에게 HTTP 서버 사용자 이름 및 비밀번호에 대한 프롬프트를 별도로 표시합
니다.
인바운드 사용자의 경우(낮은 보안 수준에서 높은 보안 수준으로) 소스 인터페이스에 적용되는 액
세스 목록에 가상 HTTP 주소를 대상 인터페이스로 포함해야 합니다. 또한 NAT가 필요 없는 경우
(no nat-control 명령 사용)에도 가상 HTTP IP 주소에 대한 static 명령을 추가해야 합니다. ID NAT
명령은 일반적으로 사용됩니다(주소를 자체로 변환하는 경우).
아웃바운드 사용자의 경우 트래픽이 명시적으로 허용되지만 내부 인터페이스에 액세스 목록을 적
용할 때는 가상 HTTP 주소에 대한 액세스를 허용해야 합니다. static 문은 필요하지 않습니다.
참고
예
virtual http 명령을 사용할 때는 timeout uauth 명령 기간을 0초로 설정하지 마십시오. 이 설정은
실제 웹 서버에 대한 HTTP 연결을 방지하기 때문입니다.
다음 예에서는 AAA 인증과 함께 가상 HTTP를 활성화하는 방법을 보여 줍니다.
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
255.255.255.255
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
관련 명령
명령
aaa authentication
listener http
clear configure
virtual
virtual http 209.165.202.129
access-list ACL-IN extended permit tcp any host 209.165.200.225 eq http
access-list ACL-IN remark This is the HTTP server on the inside
access-list ACL-IN extended permit tcp any host 209.165.202.129 eq http
access-list ACL-IN remark This is the virtual HTTP address
access-group ACL-IN in interface outside
static (inside, outside) 209.165.202.129 209.165.202.129 netmask
access-list AUTH extended permit tcp any host 209.165.200.225 eq http
access-list AUTH remark This is the HTTP server on the inside
access-list AUTH extended permit tcp any host 209.165.202.129 eq http
access-list AUTH remark This is the virtual HTTP address
aaa authentication match AUTH outside tacacs+
설명
ASA가 인증하는 방법을 설정합니다.
컨피그레이션에서 virtual 명령문을 제거합니다.
show running-config ASA 가상 서버의 IP 주소를 표시합니다.
virtual
sysopt uauth
allow-http-cache
virtual http 명령을 활성화한 경우 이 명령을 통해 브라우저 캐시에서 사용
자 이름 비밀번호를 사용하여 가상 서버에 다시 연결할 수 있습니다.
virtual telnet
사용자가 인증이 필요한 다른 유형의 연결을 시작하기 전에 ASA에 인증할
수 있도록 ASA에서 가상 텔넷 서버를 제공합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-16
4장
validate-attribute through vpnsetup 명령
virtual telnet
virtual telnet
ASA에서 가상 텔넷 서버를 구성하려면 전역 컨피그레이션 모드에서 virtual telnet 명령을 사용합
니다. ASA가 인증 프롬프트를 제공하지 않는 다른 유형의 트래픽에 대한 인증이 필요한 경우 가상
텔넷 서버에 사용자를 인증해야 할 수도 있습니다. 서버를 비활성화하려면 이 명령의 no 형식을 사
용합니다.
virtual telnet ip_address
no virtual telnet ip_address
구문 설명
ip_address
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
ASA에서 가상 텔넷 서버의 IP 주소를 설정합니다. 이 주소가 ASA로 라우팅되는 사
용되지 않는 주소인지 확인합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
프로토콜 또는 서비스에 대한 네트워크 액세스 인증을 구성할 수 있지만(aaa authentication match
또는 aaa authentication include 명령 참고) HTTP, 텔넷 또는 FTP로만 직접 인증할 수 있습니다. 사
용자는 인증이 필요한 다른 트래픽이 허용되기 전에 먼저 이러한 서비스 중 하나로 인증해야 합니
다. ASA를 통한 HTTP, 텔넷 또는 FTP를 허용하지 않고 다른 유형의 트래픽을 인증하도록 하려는
경우 가상 텔넷을 구성할 수 있습니다. 사용자가 ASA에 구성된 지정된 IP 주소로 텔넷하면 ASA에
서 텔넷 프롬프트를 제공합니다.
가상 텔넷 주소뿐만 아니라 authentication match 또는 aaa authentication include 명령을 사용하
여 인증할 다른 서비스에 대한 텔넷 액세스의 인증을 구성해야 합니다.
인증되지 않은 사용자가 가상 텔넷 IP 주소에 연결하면 사용자 이름 및 비밀번호를 묻는 메시지가
나타나며 AAA 서버에서 사용자를 인증해야 합니다. 인증되면 “Authentication Successful” 메시지
가 나타납니다. 그러면 인증이 필요한 다른 서비스에 성공적으로 액세스할 수 있습니다.
인바운드 사용자의 경우(낮은 보안 수준에서 높은 보안 수준으로) 소스 인터페이스에 적용되는 액
세스 목록에 가상 텔넷 주소를 대상 인터페이스로 포함해야 합니다. 또한 NAT가 필요 없는 경우(no
nat-control 명령 사용)에도 가상 텔넷 IP 주소에 대한 static 명령을 추가해야 합니다. ID NAT 명령
은 일반적으로 사용됩니다(주소를 자체로 변환하는 경우).
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-17
4장
validate-attribute through vpnsetup 명령
virtual telnet
아웃바운드 사용자의 경우 트래픽이 명시적으로 허용되지만 내부 인터페이스에 액세스 목록을 적
용할 때는 가상 텔넷 주소에 대한 액세스를 허용해야 합니다. static 문은 필요하지 않습니다.
ASA에서 로그아웃하려면 가상 텔넷 IP 주소에 다시 연결합니다. 로그아웃할지 묻는 프롬프트가
나타납니다.
예
다음 예에서는 다른 서비스에 대해 AAA 인증과 함께 가상 텔넷을 활성화하는 방법을 보여 줍니다.
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
telnet
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
255.255.255.255
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)#
관련 명령
명령
clear configure
virtual
virtual telnet 209.165.202.129
access-list ACL-IN extended permit tcp any host 209.165.200.225 eq smtp
access-list ACL-IN remark This is the SMTP server on the inside
access-list ACL-IN extended permit tcp any host 209.165.202.129 eq
access-list ACL-IN remark This is the virtual Telnet address
access-group ACL-IN in interface outside
static (inside, outside) 209.165.202.129 209.165.202.129 netmask
access-list AUTH extended permit tcp any host 209.165.200.225 eq smtp
access-list AUTH remark This is the SMTP server on the inside
access-list AUTH extended permit tcp any host 209.165.202.129 eq telnet
access-list AUTH remark This is the virtual Telnet address
aaa authentication match AUTH outside tacacs+
설명
컨피그레이션에서 virtual 명령문을 제거합니다.
show running-config ASA 가상 서버의 IP 주소를 표시합니다.
virtual
virtual http
ASA에서 HTTP 인증을 사용하고 HTTP 서버에서도 인증을 요구하는 경우
이 명령을 통해 ASA 및 HTTP 서버에서 개별적으로 인증할 수 있습니다.
가상 HTTP를 사용하지 않으면 ASA에 인증하는 데 사용한 동일한 사용자
이름 및 비밀번호가 HTTP 서버로 전송됩니다. HTTP 서버 사용자 이름 및
비밀번호에 대한 프롬프트가 별도로 표시되지 않습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-18
4장
validate-attribute through vpnsetup 명령
vlan
vlan
하위 인터페이스에 VLAN ID를 할당하려면 인터페이스 컨피그레이션 모드에서 vlan 명령을 사용
합니다. VLAN ID를 제거하려면 이 명령의 no 형식을 사용합니다. 하위 인터페이스에서 트래픽을
전달하려면 VLAN ID가 필요합니다. VLAN 하위 인터페이스를 사용하면 단일 물리적 인터페이스
에서 여러 논리적 인터페이스를 구성할 수 있습니다. VLAN은 지정된 물리적 인터페이스에서 트
래픽을 별도로 유지할 수 있도록 해줍니다(예: 다중 보안 상황의 경우).
vlan id
no vlan
구문 설명
id
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
1~4094의 정수를 지정합니다. 일부 VLAN ID는 연결된 스위치에 예약될
수 있으므로 자세한 내용은 스위치 문서를 확인하십시오.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
인터페이스 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
•
예
투명
•
예
단일
•
예
상황
—
시스템
•
예
수정 사항
이 명령이 interface 명령의 키워드에서 인터페이스 컨피그레이션 모드
명령으로 이동되었습니다.
단일 VLAN은 물리적 인터페이스가 아니라 하위 인터페이스에만 할당할 수 있습니다. 각 하위 인
터페이스는 VLAN ID가 있어야 트래픽을 전달할 수 있습니다. VLAN ID를 변경하려는 경우 no 옵
션을 사용하여 이전 VLAN ID를 제거할 필요가 없습니다. 다른 VLAN ID와 함께 vlan 명령을 입력
하면 ASA가 이전 ID를 변경합니다.
하위 인터페이스를 활성화하려면 no shutdown 명령을 사용하여 물리적 인터페이스를 활성화해야
합니다. 하위 인터페이스를 활성화한 경우 물리적 인터페이스에서도 트래픽을 전달하도록 하지 않
는 것이 일반적입니다. 물리적 인터페이스는 태그가 지정되지 않은 패킷을 전달하기 때문입니다.
따라서 인터페이스 수준을 낮춰 트래픽이 물리적 인터페이스를 통해 전달되지 않도록 할 수 없습
니다. 대신 nameif 명령을 생략하여 물리적 인터페이스가 트래픽을 전달하지 않도록 합니다. 물리
적 인터페이스에서 태그가 지정되지 않은 패킷을 전달할 수 있도록 하려면 nameif 명령을 평소와
같이 구성하면 됩니다.
최대 하위 인터페이스 수는 플랫폼에 따라 다릅니다. 플랫폼당 최대 하위 인터페이스 수는 CLI 컨
피그레이션 가이드를 참고하십시오.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-19
4장
validate-attribute through vpnsetup 명령
vlan
예
다음 예에서는 하위 인터페이스에 VLAN 101을 할당합니다.
ciscoasa(config)# interface gigabitethernet0/0.1
ciscoasa(config-subif)# vlan 101
ciscoasa(config-subif)# nameif dmz1
ciscoasa(config-subif)# security-level 50
ciscoasa(config-subif)# ip address 10.1.2.1 255.255.255.0
ciscoasa(config-subif)# no shutdown
다음 예에서는 VLAN을 102로 변경합니다.
ciscoasa(config)# show running-config interface gigabitethernet0/0.1
interface GigabitEthernet0/0.1
vlan 101
nameif dmz1
security-level 50
ip address 10.1.2.1 255.255.255.0
ciscoasa(config)# interface gigabitethernet0/0.1
ciscoasa(config-interface)# vlan 102
ciscoasa(config)# show running-config interface gigabitethernet0/0.1
interface GigabitEthernet0/0.1
vlan 102
nameif dmz1
security-level 50
ip address 10.1.2.1 255.255.255.0
관련 명령
명령
allocate-interface
설명
인터페이스 및 하위 인터페이스를 보안 상황에 할당합니다.
interface
인터페이스를 구성하고 인터페이스 컨피그레이션 모드를 시작합
니다.
show running-config
interface
인터페이스의 현재 컨피그레이션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-20
4장
validate-attribute through vpnsetup 명령
vlan(group-policy)
vlan(group-policy)
그룹 정책에 VLAN을 할당하려면 group-policy 컨피그레이션 모드에서 vlan 명령을 사용합니다.
VLAN을 그룹 정책의 컨피그레이션에서 제거하고 기본 그룹 정책의 VLAN 설정으로 대체하려면
이 명령의 no 형식을 사용합니다.
[no] vlan {vlan_id |none}
구문 설명
none
이 그룹 정책과 일치하는 원격 액세스 VPN 세션에 대한 VLAN 할당을
비활성화합니다. 그룹 정책은 기본 그룹 정책에서 vlan 값을 상속하지
않습니다.
vlan_id
이 그룹 정책을 사용하는 원격 액세스 VPN 세션에 할당할 VLAN 수(10
진수 형식)입니다. 인터페이스 컨피그레이션 모드에서 vlan 명령을 사
용하여 이 ASA에서 VLAN을 구성해야 합니다.
기본값
기본값은 none입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy 컨피그레이션
명령 기록
릴리스
8.0(2)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
이 명령은 이 그룹 정책에 할당된 세션에 대한 이그레스 VLAN 인터페이스를 지정합니다. ASA는
이 그룹의 모든 트래픽을 해당 VLAN으로 전달합니다. 각 그룹 정책에 VLAN을 할당하여 액세스
제어를 간소화할 수 있습니다. ACL을 사용하는 대신 이 명령을 사용하여 세션에서 트래픽을 필터
링합니다.
예
다음 명령은 그룹 정책에 VLAN 1을 할당합니다.
ciscoasa(config-group-policy)# vlan 1
ciscoasa(config-group-policy)
다음 명령은 그룹 정책에서 VLAN 매핑을 제거합니다.
ciscoasa(config-group-policy)# vlan none
ciscoasa(config-group-policy)
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-21
4장
validate-attribute through vpnsetup 명령
vlan(group-policy)
관련 명령
명령
show vlan
설명
ASA에 구성된 VLAN을 표시합니다.
vlan(인터페이스 컨피그레이션 모드)
show vpn-session_summary.db
하위 인터페이스에 VLAN ID를 할당합니다.
show vpn-session.db
VLAN 매핑 및 NAC 결과를 포함하여 VPN 세션에 대한
정보를 표시합니다.
IPsec, Cisco AnyConnect 및 NAC 세션 수와 사용 중인
VLAN 수를 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-22
4장
validate-attribute through vpnsetup 명령
vpdn group
vpdn group
vpdn 그룹을 만들거나 수정하고 PPPoE 클라이언트 설정을 구성하려면 전역 컨피그레이션 모드에
서 vpdn group 명령을 사용합니다. 컨피그레이션에서 그룹 정책을 제거하려면 이 명령의 no 형식
을 사용합니다.
vpdn group group_name {localname username | request dialout pppoe | ppp authentication
{chap | mschap | pap}}
no vpdn group group_name {localname name | request dialout pppoe | ppp authentication {chap
| mschap | pap}}
참고
구문 설명
PPPoE는 ASA에 장애 조치가 구성된 경우 또는 다중 상황 모드나 투명 모드에서 지원되지 않습니
다. PPPoE는 장애 조치 없는 단일 라우팅 모드에서만 지원됩니다.
localname username
인증을 위해 사용자 이름을 vpdn 그룹에 연결하며, vpdn username
명령으로 구성된 이름과 일치해야 합니다.
ppp authentication
{chap | mschap | pap}}
PPP(Point-to-Point 프로토콜) 인증 프로토콜을 지정합니다.
Windows 클라이언트 전화 접속 네트워킹 설정을 통해 사용할 인증
프로토콜(PAP, CHAP 또는 MS-CHAP)을 지정할 수 있습니다. 클라
이언트에서 지정한 모든 항목은 보안 어플라이언스에서 사용하는
설정과 일치해야 합니다. PAP(비밀번호 인증 프로토콜)는 PPP 피어
가 상호 인증할 수 있도록 해줍니다. PAP는 호스트 이름 또는 사용
자 이름을 일반 텍스트로 전달합니다. CHAP(Challenge Handshake
Authentication Protocol)는 PPP 피어가 액세스 서버와의 상호 작용
을 통해 무단 액세스를 방지할 수 있도록 해줍니다. MS-CHAP는
Microsoft의 파생 CHAP입니다. PIX 방화벽은 MS-CHAP 버전 1만
지원합니다(버전 2.0은 지원하지 않음).
인증 프로토콜이 호스트에 지정되지 않은 경우에는 컨피그레이션
에서 ppp authentication 옵션을 지정하지 마십시오.
request dialout pppoe
외부로 전화 접속 PPPoE 요청을 허용하려면 지정합니다.
vpdn group group_name
vpdn 그룹의 이름을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
라우팅됨
•
예
투명
—
단일
•
상황
예
시스템
—
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-23
4장
validate-attribute through vpnsetup 명령
vpdn group
명령 기록
릴리스
7.2(1)
사용 지침
수정 사항
이 명령이 도입되었습니다.
VPDN(Virtual Private Dial-up Networking)은 원격 전화 접속 사용자와 사설 네트워크 간의 장거리
포인트투포인트 연결을 제공하는 데 사용됩니다. 보안 어플라이언스의 VPDN은 계층 2 터널링 기
술 PPPoE를 사용하여 공용 네트워크를 통해 원격 사용자와 사설 네트워크 간의 전화 접속 네트워
킹 연결을 설정합니다.
PPPoE는 PPP(Point-to-Point 프로토콜) over Ethernet입니다. PPP는 IP, IPX 및 ARA와 같은 네트워
크 계층 프로토콜과 함께 작동하도록 설계되었습니다. 또한 PPP는 CHAP 및 PAP를 기본 제공 보
안 메커니즘으로 사용합니다.
show vpdn session pppoe 명령은 PPPOE 연결에 대한 세션 정보를 표시합니다. clear configure vpdn
group 명령은 모든 vpdn group 명령을 컨피그레이션에서 제공하고 모든 활성 L2TP 및 PPPoE 터
널을 중지합니다. clear configure vpdn username 명령은 모든 vpdn username 명령을 컨피그레이
션에서 제거합니다.
PPPoE는 PPP를 캡슐화하기 때문에 PPPoE는 PPP를 기반으로 VPN 터널 내에서 작동하는 클라이
언트 세션에 대한 인증 및 ECP/CCP 기능을 수행합니다. 또한 PPP는 PPPoE에 대한 IP 주소를 할당
하기 때문에 PPPoE는 DHCP와 함께 지원되지 않습니다.
참고
PPPoE에 대한 VPDN 그룹이 구성되지 않은 경우에는 PPPoE에서 연결을 설정할 수 없습니다.
PPPoE에 사용할 VPDN 그룹을 정의하려면 vpdn group group_name request dialout pppoe 명령을
사용합니다. 그런 다음 인터페이스 컨피그레이션 모드에서 pppoe client vpdn group 명령을 사용
하여 특정 인터페이스의 PPPoE 클라이언트와 VPDN 그룹을 연결합니다.
ISP에서 인증을 요구하는 경우 vpdn group group_name ppp authentication {chap | mschap | pap}
명령을 사용하여 ISP에서 사용하는 인증 프로토콜을 선택합니다.
vpdn group group_name localname username 명령을 사용하여 ISP에서 할당한 사용자 이름을
VPDN 그룹과 연결합니다.
vpdn username username password password 명령을 사용하여 PPPoE 연결을 위한 사용자 이름 및
비밀번호 쌍을 만듭니다. 사용자 이름은 PPPoE용으로 지정된 VPDN 그룹에 이미 연결된 사용자
이름이어야 합니다.
참고
ISP에서 CHAP 또는 MS-CHAP를 사용하는 경우에는 사용자 이름을 원격 시스템 이름이라고 하고,
비밀번호를 CHAP 암호라고 할 수도 있습니다.
PPPoE 클라이언트 기능은 기본적으로 해제되어 있으므로 VPDN 컨피그레이션 후 ip address
if_name pppoe [setroute] 명령을 사용하여 PPPoE를 활성화합니다. setroute 옵션은 기본 경로가 없
는 경우 기본 경로를 생성합니다.
PPPoE가 구성되는 즉시 보안 어플라이언스는 통신할 PPPoE 액세스 집선 장치를 찾습니다. 정상적
으로든 비정상적으로든 PPPoE 연결이 종료되면 ASA는 통신할 새 액세스 집선 장치를 찾습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-24
4장
validate-attribute through vpnsetup 명령
vpdn group
다음 ip address 명령은 PPPoE 세션을 종료하므로 PPPoE 세션이 시작된 후 사용해서는 안 됩니다.
예
•
ip address outside pppoe - 새 PPPoE 세션을 시작합니다.
•
ip address outside dhcp - 인터페이스에서 해당 DHCP 컨피그레이션을 가져올 때까지 인터페
이스를 비활성화합니다.
•
ip address outside address netmask - 인터페이스를 정상적으로 초기화된 인터페이스로 가동합
니다.
다음 예에서는 vdpn 그룹 telecommuters를 만들고 PPPoE 클라이언트를 구성합니다.
ciscoasa(config)# vpdn group telecommuters request dialout pppoe
ciscoasa(config)# vpdn group telecommuters localname user1
ciscoasa(config)# vpdn group telecommuters ppp authentication pap
ciscoasa(config)# vpdn username user1 password test1
ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-subif)# ip address pppoe setroute
관련 명령
명령
clear configure vpdn group
설명
컨피그레이션에서 모든 vpdn group 명령을 제거합니다.
clear configure vpdn username
컨피그레이션에서 모든 vpdn username 명령을 제거합니다.
show vpdn group group_name
vpdn 그룹 컨피그레이션을 표시합니다.
vpdn username
PPPoE 연결을 위한 사용자 이름 및 비밀번호 쌍을 만듭니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-25
validate-attribute through vpnsetup 명령
4장
vpdn username
vpdn username
PPPoE 연결을 위한 사용자 이름 및 비밀번호 쌍을 만들려면 전역 컨피그레이션 모드에서 vpdn
username 명령을 사용합니다.
vpdn username username password password [store-local]
no vpdn username username password password [store-local]
참고
구문 설명
PPPoE는 ASA에 장애 조치가 구성된 경우 또는 다중 상황 모드나 투명 모드에서 지원되지 않습니
다. PPPoE는 장애 조치 없는 단일 라우팅 모드에서만 지원됩니다.
password
비밀번호를 지정합니다.
store-local
보안 어플라이언스에 있는 NVRAM의 특정 위치에 사용자 이름 및 비밀번호를 저
장합니다. Auto Update Server에서 보안 어플라이언스로 clear config 명령을 보내
고 이후에 연결이 중단된 경우 보안 어플라이언스는 NVRAM에서 사용자 이름 및
비밀번호를 읽고 액세스 집선 장치에 다시 인증할 수 있습니다.
username
사용자 이름을 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다. 사용 지침을 참고하십시오.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
수정 사항
이 명령이 도입되었습니다.
vpdn 사용자 이름은 vpdn group group_name localname username 명령을 통해 지정된 VPDN 그룹
과 이미 연결된 사용자 이름이어야 합니다.
clear configure vpdn username 명령은 모든 vpdn username 명령을 컨피그레이션에서 제거합니다.
예
다음 예에서는 비밀번호가 telecommuter9/8인 vpdn 사용자 이름 bob_smith를 만듭니다.
ciscoasa(config)# vpdn username bob_smith password telecommuter9/8
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-26
4장
validate-attribute through vpnsetup 명령
vpdn username
관련 명령
명령
clear configure vpdn group
설명
컨피그레이션에서 모든 vpdn group 명령을 제거합니다.
clear configure vpdn username
컨피그레이션에서 모든 vpdn username 명령을 제거합니다.
show vpdn group
VPDN 그룹 컨피그레이션을 표시합니다.
vpdn group
VPDN 그룹을 만들고 PPPoE 클라이언트 설정을 구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-27
validate-attribute through vpnsetup 명령
4장
vpn-access-hours
vpn-access-hours
구성된 시간 범위 정책과 그룹 정책을 연결하려면 group-policy 컨피그레이션 모드 또는 username
컨피그레이션 모드에서 vpn-access-hours 명령을 사용합니다. 실행 중인 컨피그레이션에서 특성
을 제거하려면 이 명령의 no 형식을 사용합니다. 이 옵션을 사용하면 다른 그룹 정책에서 시간 범
위 값을 상속하도록 허용됩니다. 값을 상속하지 못하도록 하려면 vpn-access-hours none 명령을 사
용합니다.
vpn-access hours value {time-range} | none
no vpn-access hours
구문 설명
none
VPN 액세스 시간을 null 값으로 설정하여 시간 범위 정책을 허용하지 않습니다. 기
본 또는 지정된 그룹 정책에서 값을 상속하지 못하도록 합니다.
time-range
구성된 시간 범위 정책의 이름을 지정합니다.
기본값
제한 없음
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
예
라우팅됨
투명
단일
상황
시스템
group-policy 컨피그레이션
•
예
—
•
예
—
—
username 컨피그레이션
•
예
—
•
예
—
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 FirstGroup이라는 그룹 정책을 824라는 시간 범위 정책과 연결하는 방법을 보여 줍
니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-access-hours 824
관련 명령
명령
time-range
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-28
설명
시작 및 종료 날짜를 포함하여 네트워크에 액세스할
요일 및 시간을 설정합니다.
4장
validate-attribute through vpnsetup 명령
vpn-addr-assign
vpn-addr-assign
원격 액세스 클라이언트에 IPv4 주소를 할당할 방법을 지정하려면 전역 컨피그레이션 모드에서
vpn-addr-assign 명령을 사용합니다. 컨피그레이션에서 이 특성을 제거하려면 이 명령의 no 버전
을 사용합니다. 구성된 모든 VPN 주소 할당 방법을 ASA에서 제거하려면 인수 없이 이 명령의 no
버전을 사용합니다.
vpn-addr-assign {aaa | dhcp | local [reuse-delay delay]}
no vpn-addr-assign {aaa | dhcp | local [reuse-delay delay]}
구문 설명
aaa
외부 또는 내부(LOCAL) AAA 인증 서버에서 IPv4 주소를 할당합니다.
dhcp
DHCP를 통해 IP 주소를 가져옵니다.
local
ASA에 구성된 IP 주소 풀에서 IP 주소를 할당하고 이를 터널 그룹에 연
결합니다.
reuse-delay delay
해지된 IP 주소를 다시 사용할 수 있을 때까지의 지연 시간입니다. 범위
는 0~480분입니다. 기본값은 0(비활성화됨)입니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
라우팅됨
•
예
투명
—
단일
•
릴리스
7.0(1)
이 명령이 도입되었습니다.
8.0.3
reuse-delay 옵션이 도입되었습니다.
상황
예
시스템
—
수정 사항
DHCP를 선택한 경우 dhcp-network-scope 명령을 선택하여 DHCP 서버에서 사용할 수 있는 IP 주
소 범위도 정의해야 합니다. DHCP 서버에서 사용하는 IP 주소를 나타내려면 dhcp-server 명령을
사용해야 합니다.
local을 선택한 경우 ip-local-pool 명령을 사용하여 사용할 IP 주소 범위를 정의해야 합니다. 그런
다음 vpn-framed-ip-address 및 vpn-framed-netmask 명령을 사용하여 IP 주소 및 넷마스크를 개별
사용자에게 할당합니다.
로컬 풀을 사용하는 경우 reuse-delay delay 옵션을 사용하여 해제된 IP 주소를 다시 사용할 수 있을
때까지의 지연 시간을 조정할 수 있습니다. 지연 시간을 늘리면 IP 주소가 풀로 반환되고 신속하게
재할당될 때 방화벽에서 발생할 수 있는 문제가 방지됩니다.
AAA를 선택한 경우 이전에 구성된 RADIUS 서버에서 IP 주소를 가져옵니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-29
4장
validate-attribute through vpnsetup 명령
vpn-addr-assign
예
다음 예에서는 DHCP를 주소 할당 방법으로 구성하는 방법을 보여 줍니다.
ciscoasa(config)# vpn-addr-assign dhcp
관련 명령
명령
dhcp-network-scope
설명
ASA DHCP 서버에서 그룹 정책의 사용자에게 주소를 할당하기
위해 사용해야 하는 IP 주소 범위를 지정합니다.
ip-local-pool
로컬 IP 주소 풀을 만듭니다.
ipv6-addr-assign
원격 액세스 클라이언트에 IPv6 주소를 할당하는 방법을 지정합
니다.
vpn-framed-ip-address
특정 사용자에게 할당할 IP 주소를 지정합니다.
vpn-framed-ip-netmask
특정 사용자에게 할당할 넷마스크를 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-30
4장
validate-attribute through vpnsetup 명령
vpn-filter
vpn-filter
VPN 연결에 사용할 ACL 이름을 지정하려면 그룹 정책 또는 사용자 이름 모드에서 vpn-filter 명령
을 사용합니다. vpn-filter none 명령을 실행하여 만든 null 값을 포함하여 ACL을 제거하려면 이 명
령의 no 형식을 사용합니다. no 옵션은 다른 그룹 정책에서 값을 상속하도록 허용합니다. 값을 상
속하지 못하도록 하려면 vpn-filter none 명령을 사용합니다.
이 사용자 또는 그룹 정책에 대한 여러 유형의 트래픽을 허용하거나 거부하도록 ACL을 구성합니
다. 그런 다음 vpn-filter 명령을 사용하여 이러한 ACL을 적용합니다.
vpn-filter {value ACL name | none}
no vpn-filter
구문 설명
none
액세스 목록이 없음을 나타냅니다. null 값을 설정하여 액세스 목록을 허
용하지 않습니다. 다른 그룹 정책에서 액세스 목록을 상속하지 못하도
록 합니다.
value ACL name
이전에 구성된 액세스 목록의 이름을 제공합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
사용 지침
라우팅됨
투명
단일
상황
시스템
group-policy 컨피그레이션
•
예
—
•
예
—
—
username 컨피그레이션
•
예
—
•
예
—
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
9.0(1)
이제 IPv4 및 IPv6 ACL에 명령을 사용할 수 있습니다.
9.1.(4)
이제 IPv4 및 IPv6 ACL에 명령을 사용해야 합니다. 사용 중단된
ipv6-vpn-filter 명령을 실수로 사용하여 IPv6 ACL을 지정한 경우 연결
이 종료됩니다.
클라이언트리스 SSL VPN에서는 vpn-filter 명령에 정의된 ACL을 사용하지 않습니다.
vpn-filter 기능은 인바운드 방향으로만 필터링되는 트래픽을 허용하도록 설계되었습니다. 아웃바
운드 규칙은 자동으로 컴파일됩니다. ICMP 액세스 목록을 만들 때 방향 필터를 사용하려면 ICMP
유형을 액세스 목록 형식으로 지정하지 마십시오.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-31
4장
validate-attribute through vpnsetup 명령
vpn-filter
예
다음 예에서는 FirstGroup이라는 정책 그룹에 대해 acl_vpn이라는 액세스 목록을 호출하는 필터를
설정하는 방법을 보여 줍니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-filter value acl_vpn
관련 명령
명령
access-list
설명
액세스 목록을 생성하거나 다운로드 가능한 액세스 목록을 사용합니다.
ipv6-vpn-filter
이전에 IPv6 ACL을 지정하는 데 사용된 사용 중단된 명령입니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-32
4장
validate-attribute through vpnsetup 명령
vpn-framed-ip-address
vpn-framed-ip-address
개별 사용자에게 할당할 IPv4 주소를 지정하려면 사용자 이름 모드에서 vpn-framed-ip-address 명
령을 사용합니다. IP 주소를 제거하려면 이 명령의 no 형식을 사용합니다.
vpn-framed-ip-address {ip_address} {subnet_mask}
no vpn-framed-ip-address
구문 설명
ip_address
이 사용자에 대한 IP 주소를 제공합니다.
subnet_mask
서브넷 마스크를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
username 컨피그레이션
명령 기록
예
릴리스
7.0(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 anyuser라는 사용자에 대한 IP 주소를 10.92.166.7로 설정하는 방법을 보여 줍니다.
ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-framed-ip-address 10.92.166.7 255.255.255.254
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-33
validate-attribute through vpnsetup 명령
4장
vpn-framed-ipv6-address
vpn-framed-ipv6-address
사용자 모드에서 vpn-framed-ipv6-address 명령을 사용하여 사용자에게 전용 IPv6 주소를 할당할
수 있습니다. IP 주소를 제거하려면 이 명령의 no 형식을 사용합니다.
vpn-framed-ipv6-address ip_address/subnet_mask
no vpn-framed-ipv6-address ip_address/subnet_mask
구문 설명
ip_address
이 사용자에 대한 IP 주소를 제공합니다.
subnet_mask
서브넷 마스크를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
username 컨피그레이션
명령 기록
예
릴리스
9.0(1)
라우팅됨
•
예
투명
—
예
시스템
—
—
이 명령이 도입되었습니다.
다음 예에서는 anyuser라는 사용자에 대한 IP 주소 및 넷마스크를 2001::3000:1000:2000:1/64로 설
정하는 방법을 보여 줍니다. 이 주소는 접두사 값 2001:0000:0000:0000과 인터페이스 ID
3000:1000:2000:1을 나타냅니다.
명령
vpn-framed-ip-address
2001::3000:1000:2000:1/64
설명
개별 사용자에게 할당할 IPv4 주소를 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-34
•
상황
수정 사항
ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-framed-ipv6-address
ciscoasa(config-username)
관련 명령
단일
4장
validate-attribute through vpnsetup 명령
vpn-group-policy
vpn-group-policy
사용자가 구성된 그룹 정책에서 특성을 상속하도록 하려면 username 컨피그레이션 모드에서
vpn-group-policy 명령을 사용합니다. 사용자 컨피그레이션에서 그룹 정책을 제거하려면 이 명령
의 no 버전을 사용합니다. 이 명령을 사용하면 사용자가 사용자 이름 수준에서 구성되지 않은 특성
을 상속할 수 있습니다.
vpn-group-policy {group-policy name}
no vpn-group-policy {group-policy name}
구문 설명
group-policy name
기본값
기본적으로 VPN 사용자는 그룹 정책 연계가 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
그룹 정책의 이름을 제공합니다.
방화벽 모드
보안 상황
다중
명령 모드
username 컨피그레이션
라우팅됨
•
예
투명
—
단일
•
예
상황
—
시스템
—
명령 기록
릴리스
7.0(1)
사용 지침
사용자 이름 모드에서 구성하여 특정 사용자에 대해 그룹 정책의 특성 값을 재정의할 수 있습니다
(해당 특성을 사용자 이름 모드에서 사용할 수 있는 경우).
예
다음 예에서는 anyuser라는 사용자가 FirstGroup이라는 그룹 정책의 특성을 사용하도록 구성하는
방법을 보여 줍니다.
수정 사항
이 명령이 도입되었습니다.
ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-group-policy FirstGroup
관련 명령
명령
group-policy
group-policy attributes
username
username attributes
설명
ASA 데이터베이스에 그룹 정책을 추가합니다.
그룹 정책에 대한 AVP를 구성할 수 있는 group-policy attributes 모
드를 시작합니다.
ASA 데이터베이스에 사용자를 추가합니다.
특정 사용자에 대한 AVP를 구성할 수 있는 username attributes 모
드를 시작합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-35
validate-attribute through vpnsetup 명령
4장
vpn-idle-timeout
vpn-idle-timeout
사용자 시간 제한을 구성하려면 group-policy 컨피그레이션 모드 또는 username 컨피그레이션 모드
에서 vpn-idle-timeout 명령을 사용합니다. 연결된 상태에서 이 기간 동안 통신 활동이 없는 경우
ASA에서 연결을 종료합니다. 선택적으로 시간 제한 알림 간격을 기본 1분에서 연장할 수 있습니다.
실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령의 no 형식을 사용합니다. 이 옵션을 사용
하면 다른 그룹 정책에서 시간 제한 값을 상속하도록 허용됩니다. 값을 상속하지 못하도록 하려면
vpn-idle-timeout none 명령을 사용합니다.
vpn-idle-timeout {minutes | none} [alert-interval minutes]
no vpn-idle-timeout
no vpn-idle-timeout alert-interval
구문 설명
minutes
시간 제한(분) 및 시간 제한 알림 전까지의 경과 시간(분)을 지정합니다.
1~35791394의 정수를 사용합니다.
none
AnyConnect(SSL IPsec/IKEv2): ciscoasa(config-webvpn)# default-idle-timeout 명
령의 전역 WebVPN default-idle-timeout 값(초)을 사용합니다.
WebVPN default-idle-timeout 명령의 이 값은 범위가 60~86400초입니다. 기본 전
역 WebVPN 유휴 시간 제한(초)의 기본값은 1800초(30분)입니다.
참고
ASA에서는 모든 AnyConnect 연결에 0이 아닌 유휴 시간 제한 값이 필요합
니다.
WebVPN 사용자의 경우 default-idle-timeout 값은 group policy/username 특성에
vpn-idle-timeout none이 설정된 경우에만 적용됩니다.
Site-to-Site(IKEv1, IKEv2) 및 IKEv1 remote-access: 시간 제한을 비활성화하고 무
제한 유휴 시간을 허용합니다.
기본값
30분
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
라우팅됨
단일
상황
시스템
group-policy 컨피그레이션
•
예
—
•
예
—
—
username 컨피그레이션
•
예
—
•
예
—
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-36
투명
4장
validate-attribute through vpnsetup 명령
vpn-idle-timeout
사용 지침
AnyConnect 클라이언트는 SSL 및 IKEv2 연결에 대한 세션 다시 시작을 지원합니다. 이 기능을 사
용하면 엔드 유저 장치가 절전 모드로 전환되거나 해당 WiFi가 끊어지는 등의 상황이 발생한 후 복
구 시 동일한 연결을 다시 시작할 수 있습니다.
예
다음 예에서는 “FirstGroup”이라는 그룹 정책에 대한 VPN 유휴 시간 제한을 15분으로 설정하는 방
법을 보여 줍니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-idle-timeout 30
보안 어플라이언스에서는 사용자에 대한 유휴 시간 제한이 정의되지 않은 경우, vpn-idle-timeout
값이 0인 경우 또는 값이 유효한 범위에 속하지 않는 경우 default-idle-timeout 값을 사용합니다.
관련 명령
default-idle-timeout
전역 WebVPN 기본 유휴 시간 제한을 지정합니다.
group-policy
그룹 정책을 만들거나 수정합니다.
vpn-session-timeout
VPN 연결에 허용되는 최대 기간을 구성합니다. 이 기간이 경과하면
ASA에서 연결을 종료합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-37
validate-attribute through vpnsetup 명령
4장
vpn load-balancing
vpn load-balancing
VPN 부하 균형 및 관련 기능을 구성할 수 있는 vpn load-balancing 모드를 시작하려면 전역 컨피그
레이션 모드에서 vpn load-balancing 명령을 사용합니다.
vpn load-balancing
참고
VPN 부하 균형을 사용하려면 ASA 5510 Plus 라이센스 또는 ASA 5520 이상이 있어야 합니다. 또
한 VPN 부하 균형에는 활성 3DES/AES 라이센스도 필요합니다. 보안 어플라이언스는 부하 균형을
활성화하기 전에 이러한 암호화 라이센스가 있는지 확인합니다. 활성 3DES 또는 AES 라이센스가
검색되지 않는 경우 보안 어플라이언스는 부하 균형의 활성화를 방지하며, 라이센스에서 허용할
때까지 부하 균형을 통한 3DES의 내부 컨피그레이션을 방지합니다.
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
•
예
투명
—
단일
•
예
상황
시스템
—
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
8.0(2)
ASA 5510 Plus 라이센스 및 5520 이상의 모델에 대한 지원이 추가되었습니다.
부하 균형 클러스터는 보안 어플라이언스 모델 5510(Plus 라이센스) 또는 ASA 5520 이상을 포함할
수 있습니다. 또한 VPN 3000 Series Concentrator를 클러스터에 포함할 수 있습니다. 혼합 컨피그레
이션이 가능하지만 일반적으로 클러스터가 같은 유형인 경우 관리가 더 간단합니다.
vpn load-balancing 명령을 사용하여 vpn load-balancing 모드를 시작할 수 있습니다. 다음 명령은
vpn load-balancing 모드에서 사용할 수 있습니다.
•
cluster encryption
•
cluster ip address
•
cluster key
•
cluster port
•
interface
•
nat
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-38
4장
validate-attribute through vpnsetup 명령
vpn load-balancing
•
participate
•
priority
•
redirect-fqdn
자세한 내용은 개별 명령 설명을 참고하십시오.
예
다음은 vpn load-balancing 명령의 예입니다. 프롬프트의 변경 사항에 주의하십시오.
ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)#
다음은 클러스터의 공용 인터페이스를 “test”로 지정하고 클러스터의 사설 인터페이스를 “foo”로
지정하는 인터페이스 명령이 포함된 VPN 부하 균형 명령 시퀀스의 예입니다.
ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-if)# ip address 209.165.202.159 255.255.255.0
ciscoasa(config)# nameif test
ciscoasa(config)# interface GigabitEthernet 0/2
ciscoasa(config-if)# ip address 209.165.201.30 255.255.255.0
ciscoasa(config)# nameif foo
ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)# nat 192.168.10.10
ciscoasa(config-load-balancing)# priority 9
ciscoasa(config-load-balancing)# interface lbpublic test
ciscoasa(config-load-balancing)# interface lbprivate foo
ciscoasa(config-load-balancing)# cluster ip address 209.165.202.224
ciscoasa(config-load-balancing)# cluster key 123456789
ciscoasa(config-load-balancing)# cluster encryption
ciscoasa(config-load-balancing)# cluster port 9023
ciscoasa(config-load-balancing)# participate
관련 명령
명령
clear configure vpn
load-balancing
설명
부하 균형 런타임 컨피그레이션을 제거하고 부하 균형을 비활성화합니다.
show running-config 현재 VPN 부하 균형 가상 클러스터 컨피그레이션을 표시합니다.
vpn load-balancing
show vpn
load-balancing
VPN 부하 균형 런타임 통계를 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-39
validate-attribute through vpnsetup 명령
4장
vpn-session-db
vpn-session-db
최대 VPN 세션 또는 AnyConnect 클라이언트 VPN 세션 수를 지정하려면 전역 컨피그레이션 모드
에서 vpn-session-db 명령을 사용합니다. 컨피그레이션에서 이 제한을 제거하려면 이 명령의 no 형
식을 사용합니다.
vpn-sessiondb {max-anyconnect-premium-or-essentials-limit number |
max-other-vpn-limit number}
구문 설명
max-anyconnect-premiumor-essentials-limit number
최대 AnyConnect 세션 수를 1에서 라이센스에서 허용하는 최대
세션 수 사이로 지정합니다.
max-other-vpn-limit number
AnyConnect 클라이언트 세션이 아닌 최대 VPN 세션 수를 1에
서 라이센스에서 허용하는 최대 세션 수 사이로 지정합니다. 여
기에는 Cisco VPN 클라이언트(IPsec IKEv1), LAN-to-LAN
VPN 및 클라이언트리스 SSL VPN 세션이 포함됩니다.
기본값
기본적으로 ASA는 라이센스 최대값보다 낮은 VPN 세션 수를 제한하지 않습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
예
릴리스
7.0(1)
이 명령이 도입되었습니다.
8.4(1)
다음 키워드가 변경되었습니다.
9.0(1)
예
•
투명
—
단일
•
예
상황
•
예
수정 사항
•
max-session-limit가 max-anyconnect-premium-or-essentials-limit로 대체되었습
니다.
•
max-webvpn-session-limit가 max-other-vpn-limit로 대체되었습니다.
max-other-vpn-limit 및 로그오프에 대한 다중 상황 모드 지원이 추가되었습니다.
다음 예에서는 최대 AnyConnect 세션 수를 200으로 설정합니다.
ciscoasa(config)# vpn-sessiondb max-anyconnect-premium-or-essentials-limit 200
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-40
시스템
—
4장
validate-attribute through vpnsetup 명령
vpn-session-db
관련 명령
명령
vpn-sessiondb logoff
vpn-sessiondb
max-webvpn-session-limit
설명
모든 유형 또는 특정 유형의 IPsec VPN 및 WebVPN 세션을 로그오
프합니다.
최대 WebVPN 세션 수를 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-41
4장
validate-attribute through vpnsetup 명령
vpn-sessiondb logoff
vpn-sessiondb logoff
모든 VPN 세션 또는 선택한 VPN 세션을 로그오프하려면 전역 컨피그레이션 모드에서
vpn-sessiondb logoff 명령을 사용합니다.
vpn-sessiondb logoff {all | anyconnect | email-proxy | index index_number | ipaddress IPaddr |
l2l | name username | protocol protocol-name | ra-ikev1-ipsec | tunnel-group groupname |
vpn-lb | webvpn} [noconfirm]
구문 설명
all
모든 VPN 세션을 로그오프합니다.
anyconnect
모든 AnyConnect VPN 클라이언트 세션을 로그오프합니다.
email-proxy
모든 이메일 프록시 세션을 로그오프합니다.
index index_number
인덱스 번호별로 단일 세션을 로그오프합니다. 세션의 인덱스 번
호를 지정합니다. show vpn-sessiondb detail 명령을 사용하여 각
세션의 인덱스 번호를 확인할 수 있습니다.
ipaddress IPaddr
지정한 IP 주소에 대한 세션을 로그오프합니다.
l2l
모든 LAN-to-LAN 세션을 로그오프합니다.
name username
지정한 사용자 이름에 대한 세션을 로그오프합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-42
4장
validate-attribute through vpnsetup 명령
vpn-sessiondb logoff
protocol protocol-name
지정한 프로토콜에 대한 세션을 로그오프합니다. 프로토콜은 다
음과 같습니다.
•
ikev1 - IKEv1(인터넷 키 교환국 버전 1) 프로토콜을 사용하는
세션입니다.
•
ikev2 - IKEv2(인터넷 키 교환국 버전 2) 프로토콜을 사용하는
세션입니다.
•
ipsec - IKEv1 또는 IKEv2를 사용하는 IPsec 세션입니다.
•
ipseclan2lan - IPsec Lan-to-Lan 세션입니다.
•
ipseclan2lanovernatt - IPsec Lan-to-Lan over NAT-T 세션입니다.
•
ipsecovernatt - IPsec over NAT-T 세션입니다.
•
ipsecovertcp - IPsec over TCP 세션입니다.
•
ipsecoverudp - IPsec over UDP 세션입니다.
•
l2tpOverIpSec - L2TP over IPsec 세션입니다.
•
l2tpOverIpsecOverNatT - L2TP over IPsec over NAT-T 세션입니다.
•
webvpn - 클라이언트리스 SSL VPN 세션입니다.
•
imap4s - IMAP4 세션입니다.
•
pop3s - POP3 세션입니다.
•
smtps - SMTP 세션입니다.
•
anyconnectParent - 세션에 사용되는 프로토콜에 상관없는
AnyConnect 클라이언트 세션입니다(AnyConnect IPsec IKEv2
및 SSL 세션을 종료함).
•
ssltunnel - SSL을 사용하는 AnyConnect 세션 및 클라이언트리
스 SSL VPN 세션을 비롯한 SSL VPN 세션입니다.
•
dtlstunnel - DTLS가 활성화된 AnyConnect 클라이언트 세션입
니다.
ra-ikev1-ipsec
모든 IPsec IKEv1 원격 액세스 세션을 로그오프합니다.
tunnel-group groupname
지정한 터널 그룹(연결 프로파일)에 대한 세션을 로그오프합니다.
webvpn
모든 클라이언트리스 SSL VPN 세션을 로그오프합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
라우팅됨
•
예
투명
—
단일
•
예
상황
•
예
시스템
—
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-43
4장
validate-attribute through vpnsetup 명령
vpn-sessiondb logoff
명령 기록
릴리스
7.0(1)
이 명령이 도입되었습니다.
8.4(1)
다음 프로토콜 키워드가 변경되거나 추가되었습니다.
9.0(1)
예
수정 사항
•
remote가 ra-ikev1-ipsec으로 변경되었습니다.
•
ike가 ikev1로 변경되었습니다.
•
ikev2가 추가되었습니다.
•
anyconnectParent가 추가되었습니다.
다중 상황 모드 지원이 추가되었습니다.
다음 예에서는 모든 AnyConnect 클라이언트 세션을 로그오프하는 방법을 보여 줍니다.
ciscoasa# vpn-sessiondb logoff anyconnect
다음 예에서는 모든 IPsec 세션을 로그오프하는 방법을 보여 줍니다.
ciscoasa# vpn-sessiondb logoff protocol IPsec
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-44
4장
validate-attribute through vpnsetup 명령
vpn-session-timeout
vpn-session-timeout
VPN 연결에 허용되는 최대 기간을 구성하려면 group-policy 컨피그레이션 모드 또는 username 컨
피그레이션 모드에서 vpn-session-timeout 명령을 사용합니다. 이 기간이 경과하면 ASA에서 연결
을 종료합니다. 선택적으로 시간 제한 알림 간격을 기본 1분에서 연장할 수 있습니다.
실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령의 no 형식을 사용합니다. 이 옵션을 사용
하면 다른 그룹 정책에서 시간 제한 값을 상속하도록 허용됩니다. 값을 상속하지 못하도록 하려면
vpn-session-timeout none 명령을 사용합니다.
vpn-session-timeout {minutes | none} [alert-interval minutes]
no vpn-session-timeout
no vpn-session-timeout alert-interval
구문 설명
minutes
시간 제한(분) 및 시간 제한 알림 전까지의 경과 시간(분)을 지정합니다.
1~35791394의 정수를 사용합니다.
none
무제한 세션 시간 제한을 허용합니다. null 값으로 세션 시간 제한을 설정하여 세
션 시간 제한을 허용하지 않습니다. 기본 또는 지정된 그룹 정책에서 값을 상속하
지 못하도록 합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
예
라우팅됨
투명
단일
상황
시스템
group-policy 컨피그레이션
•
예
—
•
예
—
—
username 컨피그레이션
•
예
—
•
예
—
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 FirstGroup이라는 그룹 정책에 대한 VPN 세션 시간 제한을 180분으로 설정하는 방
법을 보여 줍니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-session-timeout 180
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-45
4장
validate-attribute through vpnsetup 명령
vpn-session-timeout
관련 명령
group-policy
그룹 정책을 만들거나 수정합니다.
vpn-idle-timeout
사용자 시간 제한을 구성합니다. 연결된 상태에서 이 기간 동안 통신
활동이 없는 경우 ASA에서 연결을 종료합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-46
4장
validate-attribute through vpnsetup 명령
vpn-simultaneous-logins
vpn-simultaneous-logins
사용자에게 허용되는 동시 로그인 수를 구성하려면 group-policy 컨피그레이션 모드 또는 username
컨피그레이션 모드에서 vpn-simultaneous-logins 명령을 사용합니다. 실행 중인 컨피그레이션에서
특성을 제거하려면 이 명령의 no 형식을 사용합니다. 이 옵션을 사용하면 다른 그룹 정책에서 값을
상속하도록 허용됩니다. 로그인을 비활성화하고 사용자 액세스를 방지하려면 0을 입력합니다.
vpn-simultaneous-logins {integer}
no vpn-simultaneous-logins
구문 설명
integer
기본값
기본값은 3개의 동시 로그인입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
0에서 2147483647 사이의 숫자입니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
투명
단일
상황
시스템
group-policy 컨피그레이션
•
예
—
•
예
—
—
username 컨피그레이션
•
예
—
•
예
—
—
릴리스
7.0(1)
사용 지침
라우팅됨
수정 사항
이 명령이 도입되었습니다.
로그인을 비활성화하고 사용자 액세스를 방지하려면 0을 입력합니다.
참고
동시 로그인 수에 대한 최대 제한은 크기만 여러 동시 로그인을 허용하면 보안 및 성능이 저하될 수
있습니다.
시간이 경과된 AnyConnect, IPsec 클라이언트 또는 클라이언트리스 세션(비정상적으로 종료된 세
션)은 “새” 세션이 동일한 사용자 이름으로 설정된 경우에도 세션 데이터베이스에서 그대로 유지
됩니다.
vpn-simultaneous-logins 값이 1인 경우 비정상 종료 후 동일한 사용자가 다시 로그인하면 시간이 경
과된 세션이 데이터베이스에서 제거되고 새 세션이 설정됩니다. 그러나 기존 세션이 여전히 활성
연결 상태인 경우 동일한 사용자가 다른 PC에서 다시 로그인하면 첫 번째 세션이 로그오프되고 데
이터베이스에서 제거되며 새 세션이 설정됩니다.
동시 로그인 수가 1보다 큰 값인 경우 최대 수에 도달하여 다시 로그인하면 유휴 시간이 가장 오래
된 세션이 로그오프됩니다. 모든 현재 세션이 동일한 기간 동안 유휴 상태로 유지된 경우에는 가장
오래된 세션이 로그오프됩니다. 이 동작은 세션을 확보하여 새 로그인을 허용합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-47
4장
validate-attribute through vpnsetup 명령
vpn-simultaneous-logins
예
다음 예에서는 최대 FirstGroup이라는 그룹 정책에 대해 최대 4개의 동시 로그인을 허용하는 방법
을 보여 줍니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 4
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-48
4장
validate-attribute through vpnsetup 명령
vpn-tunnel-protocol
vpn-tunnel-protocol
VPN 터널 유형(IKEv1 또는 IKEv2 사용 IPsec, L2TP over IPsec, SSL 또는 클라이언트리스 SSL)을
구성하려면 group-policy 컨피그레이션 모드 또는 username 컨피그레이션 모드에서
vpn-tunnel-protocol 명령을 사용합니다. 실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령
의 no 형식을 사용합니다.
vpn-tunnel-protocol {ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless}
no vpn-tunnel-protocol {ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless}
구문 설명
ikev1
두 피어(원격 액세스 클라이언트 또는 다른 보안 게이트웨이) 간에 IKEv1을 사용
하는 IPsec 터널을 협상합니다. 인증, 암호화, 캡슐화 및 키 관리에 적용되는 보안
연계를 만듭니다.
ikev2
두 피어(원격 액세스 클라이언트 또는 다른 보안 게이트웨이) 간에 IKEv2를 사용
하는 IPsec 터널을 협상합니다. 인증, 암호화, 캡슐화 및 키 관리에 적용되는 보안
연계를 만듭니다.
l2tp-ipsec
L2TP 연결에 대해 IPsec 터널을 협상합니다.
ssl-client
SSL VPN 클라이언트와 SSL VPN 터널을 협상합니다.
ssl-clientless
HTTPS 지원 웹 브라우저를 통해 원격 사용자에게 VPN 서비스를 제공하며, 클라
이언트는 필요하지 않습니다.
기본값
기본값은 IPsec입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy 컨피그레이션
username 컨피그레이션
명령 기록
사용 지침
투명
•
예
—
•
예
—
단일
•
•
상황
시스템
예
—
—
예
—
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
7.2(1)
l2tp-ipsec 키워드가 추가되었습니다.
7.3(1)
svc 키워드가 추가되었습니다.
8.4(1)
ipsec 키워드가 ikev1 및 ikev2 키워드로 대체되었습니다.
이 명령을 사용하여 하나 이상의 터널링 모드를 구성할 수 있습니다. 사용자가 VPN 터널을 통해
연결하려면 하나 이상의 터널링 모드를 구성해야 합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-49
4장
validate-attribute through vpnsetup 명령
vpn-tunnel-protocol
참고
예
IPsec에서 SSL로의 대체를 지원하려면 vpn-tunnel-protocol 명령에서 svc 및 ipsec 인수를 둘 다 구
성해야 합니다.
다음 예에서는 “FirstGroup”이라는 그룹 정책에 대한 WebVPN 및 IPsec 터널링 모드를 구성하는 방
법을 보여 줍니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-tunnel-protocol webvpn
ciscoasa(config-group-policy)# vpn-tunnel-protocol IPsec
관련 명령
명령
address pools
설명
원격 클라이언트에 주소를 할당하기 위한 주소 풀 목록을 지정합니다.
show running-config 모든 그룹 정책 또는 특정 그룹 정책에 대한 컨피그레이션을 표시합니다.
group-policy
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-50
4장
validate-attribute through vpnsetup 명령
vpnclient connect
vpnclient connect
구성된 서버에 대한 Easy VPN Remote 연결을 설정하려면 전역 컨피그레이션 모드에서 vpnclient
connect 명령을 사용합니다.
vpnclient connect
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
라우팅됨
투명
전역 컨피그레이션
•
예
—
특권 EXEC
•
예
—
릴리스
7.2(1)
단일
•
•
상황
시스템
예
—
—
예
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
이 명령은 ASA 5505에만 적용됩니다.
예
다음 예에서는 구성된 EasyVPN 서버에 대한 Easy VPN Remote 연결을 설정하는 방법을 보여
줍니다.
ciscoasa(config)# vpnclient connect
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-51
validate-attribute through vpnsetup 명령
4장
vpnclient enable
vpnclient enable
Easy VPN Remote 기능을 활성화하려면 전역 컨피그레이션 모드에서 vpnclient enable 명령을 사
용합니다. Easy VPN Remote 기능을 비활성화하려면 이 명령의 no 형식을 사용합니다.
vpnclient enable
no vpnclient enable
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 ASA 5505에만 적용됩니다.
vpnclient enable 명령을 입력하면 ASA 5505 기능이 Easy VPN 하드웨어 클라이언트(“Easy VPN
Remote”라고도 함)로 작동합니다.
예
다음 예에서는 Easy VPN Remote 기능을 활성화하는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient enable
ciscoasa(config)#
다음 예에서는 Easy VPN Remote 기능을 비활성화하는 방법을 보여 줍니다.
ciscoasa(config)# no vpnclient enable
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-52
4장
validate-attribute through vpnsetup 명령
vpnclient ipsec-over-tcp
vpnclient ipsec-over-tcp
Easy VPN 하드웨어 클라이언트로 실행되는 ASA 5505를 TCP 캡슐화된 IPsec을 사용하도록 구성
하려면 전역 컨피그레이션 모드에서 vpnclient ipsec-over-tcp 명령을 사용합니다. 실행 중인 컨피
그레이션에서 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
vpnclient ipsec-over-tcp [port tcp_port]
no vpnclient ipsec-over-tcp
구문 설명
port
(선택 사항) 특정 포트를 사용하도록 지정합니다.
tcp_port
(port 키워드를 지정한 경우 필수) TCP 캡슐화된 IPsec 터널에 사용할 TCP 포
트 번호를 지정합니다.
기본값
명령에서 포트 번호를 지정하지 않으면 Easy VPN Remote 연결에서 포트 10000을 사용합니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 Easy VPN 하드웨어 클라이언트(“Easy VPN Remote”라고도 함)로 실행되는 ASA 5505에
만 적용됩니다.
기본적으로 Easy VPN 클라이언트 및 서버는 UDP(사용자 데이터그램 프로토콜) 패킷에서 IPsec을
캡슐화합니다. 특정 방화벽 규칙 또는 NAT 및 PAT 장치가 있는 일부 환경에서는 UDP를 금지합니
다. 이러한 환경에서 표준 ESP(Encapsulating Security Protocol, Protocol 50) 또는 IKE(인터넷 키 교
환국, UDP 500)를 사용하려면 TCP 패킷 내에서 IPsec을 캡슐화하여 보안 터널링을 활성화하도록
클라이언트 및 서버를 구성해야 합니다. 그러나 환경에서 UDP를 허용하는 경우 IPsec over TCP를
구성하면 불필요한 오버헤드가 추가됩니다.
TCP 캡슐화된 IPsec을 사용하도록 ASA 5505를 구성한 경우 다음 명령을 입력하여 외부 인터페이
스를 통해 대용량 패킷을 전송할 수 있도록 합니다.
ciscoasa(config)# crypto ipsec df-bit clear-df outside
ciscoasa(config)#
이 명령은 캡슐화된 헤더에서 DF(Don't Fragment) 비트를 지웁니다. DF 비트는 패킷을 조각화할 수
있는지 여부를 결정하는 IP 헤더 내의 비트입니다. 이 명령을 사용하면 Easy VPN 하드웨어 클라이
언트가 MTU 크기보다 큰 패킷을 전송할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-53
4장
validate-attribute through vpnsetup 명령
vpnclient ipsec-over-tcp
예
다음 예에서는 기본 포트 10000을 사용하여 TCP 캡슐화된 IPsec을 사용하도록 Easy VPN 하드웨어
클라이언트를 구성하고 외부 인터페이스를 통해 대용량 패킷을 전송할 수 있도록 하는 방법을 보
여 줍니다.
ciscoasa(config)# vpnclient ipsec-over-tcp
ciscoasa(config)# crypto ipsec df-bit clear-df outside
ciscoasa(config)#
다음 예에서는 포트 10501을 사용하여 TCP 캡슐화된 IPsec을 사용하도록 Easy VPN 하드웨어 클라
이언트를 구성하고 외부 인터페이스를 통해 대용량 패킷을 전송할 수 있도록 하는 방법을 보여 줍
니다.
ciscoasa(config)# vpnclient ipsec-over-tcp port 10501
ciscoasa(config)# crypto ipsec df-bit clear-df outside
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-54
4장
validate-attribute through vpnsetup 명령
vpnclient mac-exempt
vpnclient mac-exempt
Easy VPN Remote 연결 뒤에 있는 장치를 개별 사용자 인증 요구 사항에서 제외하려면 전역 컨피
그레이션 모드에서 vpnclient mac-exempt 명령을 사용합니다. 실행 중인 컨피그레이션에서 특성
을 제거하려면 이 명령의 no 형식을 사용합니다.
vpnclient mac-exempt mac_addr_1 mac_mask_1 [mac_addr_2 mac_mask_2...mac_addr_n
mac_mask_n]
no vpnclient mac-exempt
구문 설명
mac_addr_1
개별 사용자 인증을 제외할 장치의 제조업체 및 일련 번호를 지정하는 MAC
주소(점으로 구분된 16진수 표기법)입니다. 장치가 2대 이상인 경우 공백 및
각 네트워크 마스크로 구분하여 각 MAC 주소를 지정합니다.
MAC 주소의 처음 6자는 장치 제조업체를 식별하고 마지막 6자는 일련 번호
입니다. 마지막 24비트는 16진수 형식의 장치 일련 번호입니다.
mac_mask_1
해당 MAC 주소에 대한 네트워크 마스크입니다. 공백을 사용하여 네트워크 마
스크와 이후의 모든 MAC 주소 및 네트워크 마스크 쌍을 구분할 수 있습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 ASA 5505에만 적용됩니다.
Cisco IP Phone, 무선 액세스 포인트 및 프린터와 같은 장치에서는 인증을 수행할 수 없으므로 개별
장치 인증이 활성화된 경우 인증하지 않습니다. 개별 사용자 인증이 활성화된 경우 이 명령을 사용
하여 이러한 장치를 인증에서 제외할 수 있습니다. 개별 사용자 인증에서 장치를 제외하는 것을 “
장치 통과”라고도 합니다.
이 명령에서 MAC 주소 및 마스크를 지정하는 형식에는 마침표로 구분된 16진수 3개가 사용됩니
다. 예를 들어 MAC 마스크 ffff.ffff.ffff는 지정한 MAC 주소와 일치합니다. 모두 0인 MAC 마스크는
일치하는 MAC 주소가 없으며, MAC 마스크 ffff.ff00.0000은 같은 제조업체에서 만든 모든 장치와
일치합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-55
4장
validate-attribute through vpnsetup 명령
vpnclient mac-exempt
참고
헤드엔드 장치에서 개별 사용자 인증 및 사용자 우회를 구성해야 합니다. 예를 들어 ASA가
헤드엔드인 경우 정책 그룹에서 다음을 구성합니다.
ciscoasa(config-group-policy)# user-authentication enable
ciscoasa(config-group-policy)# ip-phone-bypass enable
예
Cisco IP Phone은 제조업체 ID가 00036b이므로 다음 명령은 Cisco IP Phone을 포함하여 향후에 추
가할 수 있는 모든 Cisco IP Phone을 제외합니다.
ciscoasa(config)# vpnclient mac-exempt 0003.6b00.0000 ffff.ff00.0000
ciscoasa(config)#
다음 예에서는 특정 Cisco IP Phone 하나를 제외하므로 유연성은 떨어지지만 보다 뛰어난 보안을
제공합니다.
ciscoasa(config)# vpnclient mac-exempt 0003.6b54.b213 ffff.ffff.ffff
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-56
4장
validate-attribute through vpnsetup 명령
vpnclient management
vpnclient management
Easy VPN 하드웨어 클라이언트의 관리 액세스를 위한 IPsec 터널을 생성하려면 전역 컨피그레이
션 모드에서 vpnclient management 명령을 사용합니다.
vpnclient management tunnel ip_addr_1 ip_mask_1 [ip_addr_2 ip_mask_2...ip_addr_n
ip_mask_n]
vpnclient management clear
실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령의 no 형식을 사용합니다. 그러면
split-tunnel-policy 및 split-tunnel-network-list 명령에 따라 관리용으로만 IPsec 터널이 설정됩니다.
no vpnclient management
구문 설명
clear
일반 라우팅을 사용하여 회사 네트워크에서 Easy VPN 클라이언트로 실행되
는 ASA 5505의 외부 인터페이스로의 관리 액세스를 제공합니다. 이 옵션은
관리 터널을 만들지 않습니다.
참고
클라이언트와 인터넷 사이에서 NAT 장치가 작동하는 경우 이 옵션을
사용합니다.
ip_addr
Easy VPN 하드웨어 클라이언트에서 관리 터널을 만들 호스트 또는 네트워
크의 IP 주소입니다. tunnel 키워드와 함께 이 인수를 사용합니다. 공백 및 각
네트워크 마스크로 구분하여 하나 이상의 IP 주소를 지정합니다.
ip_mask
해당 IP 주소에 대한 네트워크 마스크입니다. 공백을 사용하여 네트워크 마
스크와 이후의 모든 IP 주소 및 네트워크 마스크 쌍을 구분할 수 있습니다.
tunnel
특별히 회사 네트워크에서 Easy VPN 클라이언트로 실행되는 ASA 5505의
외부 인터페이스로의 관리 액세스에 대한 IPsec 터널 설정을 자동화합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-57
4장
validate-attribute through vpnsetup 명령
vpnclient management
사용 지침
이 명령은 Easy VPN 클라이언트(“Easy VPN Remote”라고도 함)로 실행되는 ASA 5505에만 적용됩
니다. ASA 5505 컨피그레이션에 다음 명령이 포함된 것으로 가정합니다.
•
vpnclient server - 피어 지정
•
vpnclient mode - 클라이언트 모드(PAT) 또는 네트워크 확장 모드 지정
다음 중 하나:
예
•
vpnclient vpngroup - Easy VPN 서버 인증에 사용되는 터널 그룹 및 IKE 사전 공유 키 이름 지정
•
vpnclient trustpoint - 인증에 사용할 RSA 인증서를 식별하는 신뢰 지점 이름 지정
•
vpnclient enable - ASA 5505를 Easy VPN 클라이언트로 활성화
참고
NAT 장치에서 정적 NAT 매핑을 추가하지 않은 경우에는 NAT 장치 뒤에 있는 ASA 5505의 공용 주
소에 액세스할 수 없습니다.
참고
컨피그레이션에 관계없이 DHCP 요청(갱신 메시지 포함)은 IPsec 터널을 통해 흐를 수 없습니다.
vpnclient 관리 터널에서도 DHCP 트래픽은 금지됩니다.
다음 예에서는 ASA 5505의 외부 인터페이스에서 IP 주소/마스크 조합이 192.168.10.10
255.255.255.0인 호스트 사이의 IPsec 터널을 생성하는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient management tunnel 192.168.10.0 255.255.255.0
ciscoasa(config)#
다음 예에서는 IPsec을 사용하지 않고 ASA 5505의 외부 인터페이스에 대한 관리 액세스를 제공하
는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient management clear
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-58
4장
validate-attribute through vpnsetup 명령
vpnclient mode
vpnclient mode
클라이언트 모드 또는 네트워크 확장 모드에 대한 Easy VPN Remote 연결을 구성하려면 전역 컨피
그레이션 모드에서 vpnclient mode 명령을 사용합니다. 실행 중인 컨피그레이션에서 특성을 제거
하려면 이 명령의 no 형식을 사용합니다.
vpnclient mode {client-mode | network-extension-mode}
no vpnclient mode
구문 설명
client-mode
클라이언트 모드(PAT)를 사용하도록 Easy VPN Remote 연결을 구성합
니다.
network-extension-mode 네트워크 확장 모드(NEM)를 사용하도록 Easy VPN Remote 연결을 구
성합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 Easy VPN 클라이언트(“Easy VPN Remote”라고도 함)로 실행되는 ASA 5505에만 적용됩
니다. Easy VPN 클라이언트는 클라이언트 모드 또는 NEM을 지원합니다. 작동 모드에 따라 엔터
프라이즈 네트워크에서 터널을 통해 Easy VPN 클라이언트에 상대적인 내부 호스트에 액세스할 수
있는지 여부가 결정됩니다. Easy VPN 클라이언트에는 기본 모드가 없기 때문에 연결을 설정하려
면 먼저 작동 모드를 지정해야 합니다.
•
클라이언트 모드에서는 Easy VPN 클라이언트가 해당 내부 호스트에서의 모든 VPN 트래픽에
대해 PAT(포트 주소 변환)를 수행합니다. 이 모드에서는 하드웨어 클라이언트(기본 RFC 1918
주소가 할당됨)의 내부 주소 또는 내부 호스트에 대한 IP 주소 관리가 필요 없습니다. PAT 때문
에 엔터프라이즈 네트워크에서 내부 호스트에 액세스할 수 없습니다.
•
NEM에서는 내부 네트워크 및 내부 인터페이스의 모든 노드에 엔터프라이즈 네트워크를 통해
라우팅할 수 있는 주소가 할당됩니다. 내부 호스트에는 엔터프라이즈 네트워크에서 터널을 통
해 액세스할 수 있습니다. 내부 네트워크의 호스트에는 액세스 가능한 서브넷에서 IP 주소가
할당됩니다(정적으로 또는 DHCP를 통해). 네트워크 확장 모드에서는 VPN 트래픽에 PAT가 적
용되지 않습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-59
4장
validate-attribute through vpnsetup 명령
vpnclient mode
참고
예
Easy VPN 하드웨어 클라이언트가 NEM을 사용하고 보조 서버에 연결된 경우 각 헤드엔드
장치에서 crypto map set reverse-route 명령을 사용하여 RRI(Reverse Route Injection)를 통
한 원격 네트워크의 동적 알림을 구성할 수 있습니다.
다음 예에서는 클라이언트 모드에 대한 Easy VPN Remote 연결을 설정하는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient mode client-mode
ciscoasa(config)#
다음 예에서는 NEM에 대한 Easy VPN Remote 연결을 설정하는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient mode network-extension-mode
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-60
4장
validate-attribute through vpnsetup 명령
vpnclient nem-st-autoconnect
vpnclient nem-st-autoconnect
NEM 및 스플릿 터널링이 구성된 경우 IPsec 데이터 터널을 자동으로 시작하도록 Easy VPN Remote
연결을 구성하려면 전역 컨피그레이션 모드에서 vpnclient nem-st-autoconnect 명령을 사용합니다.
실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
vpnclient nem-st-autoconnect
no vpnclient nem-st-autoconnect
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
사용 지침
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 Easy VPN 클라이언트(“Easy VPN Remote”라고도 함)로 실행되는 ASA 5505에만 적용됩
니다.
vpnclient nem-st-autoconnect 명령을 입력하기 전에 하드웨어 클라이언트에 대해 네트워크 확장
모드가 설정되어 있는지 확인합니다. 네트워크 확장 모드에서는 하드웨어 클라이언트가 VPN 터
널을 통해 원격 사설 네트워크에 라우팅 가능한 단일 네트워크를 제공할 수 있습니다. IPsec은 하
드웨어 클라이언트 뒤에 있는 사설 네트워크에서 ASA 뒤에 있는 네트워크로의 모든 트래픽을 캡
슐화합니다. PAT는 적용되지 않습니다. 따라서 ASA 뒤에 있는 장치가 터널을 통해 하드웨어 클라
이언트 뒤에 있는 사설 네트워크의 장치에 직접 액세스하며, 그 반대의 경우도 마찬가지입니다. 하
드웨어 클라이언트에서 터널을 시작해야 합니다. 터널이 가동된 후에는 한 쪽에서 데이터 교환을
시작할 수 있습니다.
참고
또한 네트워크 확장 모드를 활성화하도록 Easy VPN 서버를 구성해야 합니다. 이렇게 하려면
group-policy 컨피그레이션 모드에서 nem enable 명령을 사용합니다.
네트워크 확장 모드에서는 스플릿 터널링이 구성된 경우를 제외하고 IPsec 데이터 터널이 자동으
로 시작 및 유지됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-61
4장
validate-attribute through vpnsetup 명령
vpnclient nem-st-autoconnect
예
다음 예에서는 스플릿 터널링이 구성된 네트워크 확장 모드에서 자동으로 연결되도록 Easy VPN
Remote 연결을 구성하는 방법을 보여 줍니다. 네트워크 확장 모드는 FirstGroup 그룹 정책에 대해
활성화되어 있습니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# nem enable
ciscoasa(config)# vpnclient nem-st-autoconnect
ciscoasa(config)#
관련 명령
명령
nem
설명
하드웨어 클라이언트에 대한 네트워크 확장 모드를 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-62
4장
validate-attribute through vpnsetup 명령
vpnclient server-certificate
vpnclient server-certificate
인증서 맵에 지정된 특정 인증서가 있는 Easy VPN 서버에 대한 연결만 허용하도록 Easy VPN
Remote 연결을 구성하려면 전역 컨피그레이션 모드에서 vpnclient server-certificate 명령을 사용
합니다. 실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
vpnclient server-certificate certmap_name
no vpnclient server-certificate
구문 설명
certmap_name
기본값
Easy VPN 서버 인증서 필터링은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
허용되는 Easy VPN 서버 인증서를 지정하는 인증서 맵의 이름을 지정합니
다. 최대 길이는 64자입니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
단일
—
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 ASA 모델 5505에만 적용됩니다.
이 명령을 사용하여 Easy VPN 서버 인증서 필터링을 활성화할 수 있습니다. crypto ca certificate
map 및 crypto ca certificate chain 명령을 사용하여 인증서 맵 자체를 정의합니다.
예
다음 예에서는 인증서 맵 이름이 homeservers인 Easy VPN 서버에 대한 연결만 지원하도록 Easy
VPN Remote 연결을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient server-certificate homeservers
ciscoasa(config)#
관련 명령
명령
certificate
설명
지정된 인증서를 추가합니다.
vpnclient trustpoint
Easy VPN Remote 연결에서 사용할 RSA ID 인증서를 구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-63
validate-attribute through vpnsetup 명령
4장
vpnclient server
vpnclient server
Easy VPN Remote 연결을 위한 기본 및 보조 IPsec 서버를 구성하려면 전역 컨피그레이션 모드에서
vpnclient server 명령을 사용합니다. 실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령의 no
형식을 사용합니다.
vpnclient server ip_primary_address [ip_secondary_address_1 ... ipsecondary_address_10]
no vpnclient server
구문 설명
ip_primary_address
기본 Easy VPN(IPsec) 서버의 IP 주소 또는 DNS 이름입니다. 모든 ASA
또는 VPN 3000 Concentrator 시리즈는 Easy VPN 서버 역할을 할 수 있
습니다.
ip_secondary_address_n
(선택 사항) 최대 10개의 Easy VPN 백업 서버에 대한 IP 주소 또는 DNS
이름 목록입니다. 공백을 사용하여 목록의 항목을 구분합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 ASA 모델 5505에만 적용됩니다.
연결을 설정하려면 먼저 서버를 구성해야 합니다. vpnclient server 명령은 IPv4 주소, 이름 데이터
베이스 또는 DNS 이름을 지원하며, 이 순서대로 주소를 확인합니다.
서버의 IP 주소 또는 호스트 이름을 사용할 수 있습니다.
예
다음 예에서는 headend-1이라는 이름을 주소 10.10.10.10에 연결하고 vpnclient server 명령을 사용
하여 headend-dns.example.com(기본), headend-1(보조) 및 192.168.10.10(보조)의 세 서버를 지정합
니다.
ciscoasa(config)# names
ciscoasa(config)# 10.10.10.10 headend-1
ciscoasa(config)# vpnclient server headend-dns.example.com headend-1 192.168.10.10
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-64
4장
validate-attribute through vpnsetup 명령
vpnclient server
다음 예에서는 IP 주소가 10.10.10.15인 VPN 클라이언트 기본 IPsec 서버와 IP 주소가 10.10.10.30
및 192.168.10.45인 보조 서버를 구성하는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient server 10.10.10.15 10.10.10.30 192.168.10.10
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-65
validate-attribute through vpnsetup 명령
4장
vpnclient trustpoint
vpnclient trustpoint
Easy VPN Remote 연결에서 사용할 RSA ID 인증서를 구성하려면 전역 컨피그레이션 모드에서
vpnclient trustpoint 명령을 사용합니다. 실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령
의 no 형식을 사용합니다.
vpnclient trustpoint trustpoint_name [chain]
no vpnclient trustpoint
구문 설명
chain
trustpoint_name
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
전체 인증서 체인을 전송합니다.
인증에 사용할 RSA 인증서를 식별하는 신뢰 지점의 이름을 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
라우팅됨
•
예
투명
—
단일
•
예
상황
—
명령 기록
릴리스
7.2(1)
사용 지침
이 명령은 ASA 모델 5505에만 적용되며, 디지털 인증서를 사용할 때만 적용됩니다.
시스템
—
수정 사항
이 명령이 도입되었습니다.
crypto ca trustpoint 명령을 사용하여 신뢰 지점을 정의합니다. 신뢰 지점은 CA에서 발급한 인증
서에 따라 CA ID 및 가능한 경우 장치 ID를 나타냅니다. 신뢰 지점 하위 모드 내의 명령은 ASA가
CA 인증서를 가져오는 방법, ASA가 CA에서 해당 인증서를 가져오는 방법 및 CA에서 발급한 사
용자 인증서에 대한 인증 정책을 지정하는 CA 관련 컨피그레이션 매개변수를 제어합니다.
예
다음 예에서는 certificate이라는 특정 ID 인증서를 사용하고 전체 인증서 체인을 보내도록 Easy
VPN Remote 연결을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# crypto ca trustpoint central
ciscoasa(config)# vpnclient trustpoint central chain
ciscoasa(config)#
관련 명령
명령
crypto ca trustpoint
설명
지정된 신뢰 지점에 대한 신뢰 지점 하위 모드를 시작하고 신뢰 지
점 정보를 관리합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-66
4장
validate-attribute through vpnsetup 명령
vpnclient username
vpnclient username
Easy VPN Remote 연결을 위한 VPN 사용자 이름 및 비밀번호를 구성하려면 전역 컨피그레이션 모
드에서 vpnclient username 명령을 사용합니다. 실행 중인 컨피그레이션에서 특성을 제거하려면
이 명령의 no 형식을 사용합니다.
vpnclient username xauth_username password xauth password
no vpnclient username
구문 설명
xauth_password
XAUTH에 사용할 비밀번호를 지정합니다. 최대 길이는 64자입니다.
xauth_username
XAUTH에 사용할 사용자 이름을 지정합니다. 최대 길이는 64자입니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 ASA 5505에만 적용됩니다.
XAUTH 사용자 이름 및 비밀번호 매개변수는 보안 장치 인증이 비활성화되고 서버에서 XAUTH
자격 증명을 요청하는 경우에 사용됩니다. 보안 장치 인증이 활성화된 경우에는 이러한 매개변수
가 무시되고 ASA에서 사용자에게 사용자 이름 및 비밀번호를 묻는 프롬프트를 표시합니다.
예
다음 예에서는 XAUTH 사용자 이름 testuser 및 비밀번호 ppurkm1을 사용하도록 Easy VPN Remote
연결을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient username testuser password ppurkm1
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-67
validate-attribute through vpnsetup 명령
4장
vpnclient vpngroup
vpnclient vpngroup
Easy VPN Remote 연결을 위한 VPN 터널 그룹 이름 및 비밀번호를 구성하려면 전역 컨피그레이션
모드에서 vpnclient vpngroup 명령을 사용합니다. 실행 중인 컨피그레이션에서 특성을 제거하려
면 이 명령의 no 형식을 사용합니다.
vpnclient vpngroup group_name password preshared_key
no vpnclient vpngroup
구문 설명
group_name
Easy VPN 서버에 구성된 VPN 터널 그룹의 이름을 지정합니다. 최대 길이는
64자이고, 공백은 허용되지 않습니다.
preshared_key
Easy VPN 서버에서 인증에 사용되는 IKE 사전 공유 키입니다. 최대 길이는
128자입니다.
기본값
Easy VPN 클라이언트로 실행되는 ASA 5505의 컨피그레이션에서 터널 그룹을 지정하지 않은 경
우에는 클라이언트에서 RSA 인증서를 사용합니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
—
시스템
—
수정 사항
이 명령이 도입되었습니다.
이 명령은 Easy VPN 클라이언트(“Easy VPN Remote”라고도 함)로 실행되는 ASA 5505에만 적용됩
니다.
사전 공유 키를 비밀번호로 사용합니다. 연결을 설정하려면 먼저 서버를 구성해야 합니다.
예
다음 예에서는 그룹 이름이 TestGroup1이고 비밀번호가 my_key123인 VPN 터널 그룹으로 Easy
VPN Remote 연결을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# vpnclient vpngroup TestGroup1 password my_key123
ciscoasa(config)#
관련 명령
명령
vpnclient trustpoint
설명
Easy VPN 연결에서 사용할 RSA ID 인증서를 구성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-68
4장
validate-attribute through vpnsetup 명령
vpnsetup
vpnsetup
ASA에서 VPN 연결을 구성하기 위한 단계 목록을 표시하려면 전역 컨피그레이션 모드에서
vpnsetup 명령을 사용합니다.
vpnsetup {ipsec-remote-access | l2tp-remote-access | site-to-site | ssl-remote-access} steps
구문 설명
ipsec-remote-access
IPsec 연결을 허용하도록 ASA를 구성하는 단계를 표시합니다.
l2tp-remote-access
L2TP 연결을 허용하도록 ASA를 구성하는 단계를 표시합니다.
site-to-site
LAN-to-LAN 연결을 허용하도록 ASA를 구성하는 단계를 표시합니다.
ssl-remote-access
SSL 연결을 허용하도록 ASA를 구성하는 단계를 표시합니다.
steps
연결 유형에 대한 단계를 표시하도록 지정합니다.
기본값
이 명령에는 기본 설정이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
예
•
예
투명
—
단일
•
예
상황
•
예
릴리스
8.0(3)
이 명령이 도입되었습니다.
9.0(1)
Site-to-Site 연결에 대한 다중 상황 모드 지원이 추가되었습니다.
시스템
—
수정 사항
다음 예에서는 vpnsetup ssl-remote-access steps 명령의 출력을 보여 줍니다.
ciscoasa(config-t)# vpnsetup ssl-remote-access steps
Steps to configure a remote access SSL VPN remote access connection and AnyConnect with
examples:
1. Configure and enable interface
interface GigabitEthernet0/0
ip address 10.10.4.200 255.255.255.0
nameif outside
no shutdown
interface GigabitEthernet0/1
ip address 192.168.0.20 255.255.255.0
nameif inside
no shutdown
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-69
4장
validate-attribute through vpnsetup 명령
vpnsetup
2. Enable WebVPN on the interface
webvpn
enable outside
3. Configure default route
route outside 0.0.0.0 0.0.0.0 10.10.4.200
4. Configure AAA authentication and tunnel group
tunnel-group DefaultWEBVPNGroup type remote-access
tunnel-group DefaultWEBVPNGroup general-attributes
authentication-server-group LOCAL
5. If using LOCAL database, add users to the Database
username test password t3stP@ssw0rd
username test attributes
service-type remote-access
Proceed to configure AnyConnect VPN client:
6. Point the ASA to an AnyConnect image
webvpn
svc image anyconnect-win-2.1.0148-k9.pkg
7. enable AnyConnect
svc enable
8. Add an address pool to assign an ip address to the AnyConnect client
ip local pool client-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0
9. Configure group policy
group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol svc webvpn
ciscoasa(config-t)#
관련 명령
명령
show running-config
설명
ASA의 실행 중인 컨피그레이션을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
4-70
5
장
wccp through zonelabs integrity
ssl-client-authentication 명령
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-1
wccp through zonelabs integrity ssl-client-authentication 명령
5장
wccp
wccp
서비스 그룹에 참여하기 위해 공간을 할당하고 지정된 WCCP(Web Cache Communication Protocol)
서비스의 지원을 활성화하려면 전역 컨피그레이션 모드에서 wccp 명령을 사용합니다. 서비스 그
룹을 비활성화하고 공간 할당을 취소하려면 이 명령의 no 형식을 사용합니다.
wccp {web-cache | service-number} [redirect-list access-list] [group-list access-list] [password
password]
no wccp {web-cache | service-number} [redirect-list access-list] [group-list access-list]
[password password [0 | 7]]
구문 설명
access-list
액세스 목록의 이름을 지정합니다.
group-list
(선택 사항) 서비스 그룹에 참여할 수 있는 웹 캐시를 결정하는 액세스
목록입니다. access-list 인수는 액세스 목록을 지정하는 64자 이내의 문
자열(이름 또는 숫자)로 구성되어야 합니다.
password
(선택 사항) 서비스 그룹에서 수신된 메시지에 대한 MD5(Message
Digest 5) 인증을 지정합니다. 인증에서 허용되지 않은 메시지는 삭제됩
니다.
password
인증에 사용할 비밀번호를 지정합니다. password 인수는 최대 7자일 수
있습니다.
redirect-list
(선택 사항) 이 서비스 그룹으로 리디렉션되는 트래픽을 제어하는 액세
스 목록과 함께 사용됩니다. access-list 인수는 액세스 목록을 지정하는
64자 이내의 문자열(이름 또는 숫자)로 구성되어야 합니다. 액세스 목록
은 네트워크 주소만 포함해야 합니다. 포트 관련 항목은 지원되지 않습
니다.
service-number
서비스 정의가 캐시에 의해 지정됨을 의미하는 동적 서비스 식별자입니
다. 동적 서비스 번호는 0~254이며, 최대 255개일 수 있습니다.
web-cache 키워드로 지정된 웹 캐시 서비스를 포함하여 허용되는 최대
개수를 256개로 지정할 수도 있습니다.
web-cache
웹 캐시 서비스를 지정합니다.
참고
웹 캐시는 하나의 서비스로 계산됩니다. service-number 인수로
할당된 서비스를 포함하여 최대 서비스 수는 256개입니다.
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
라우팅됨
•
예
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-2
투명
•
예
단일
•
예
상황
•
예
시스템
—
5장
wccp through zonelabs integrity ssl-client-authentication 명령
wccp
명령 기록
예
릴리스
7.2(1)
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 서비스 그룹에 참여할 수 있도록 WCCP를 활성화하는 방법을 보여 줍니다.
ciscoasa(config)# wccp web-cache redirect-list jeeves group-list wooster password whatho
관련 명령
명령
show wccp
설명
WCCP 컨피그레이션을 표시합니다.
wccp redirect
WCCP 리디렉션 지원을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-3
wccp through zonelabs integrity ssl-client-authentication 명령
5장
wccp redirect
wccp redirect
WCCP(Web Cache Communication Protocol)를 사용하여 인터페이스의 이그레스에서 패킷 리디렉
션을 활성화하려면 wccp redirect 명령을 사용합니다. WCCP 리디렉션을 비활성화하려면 이 명령
의 no 형식을 사용합니다.
wccp interface interface_name service redirect in
no wccp interface interface_name service redirect in
구문 설명
in
이 인터페이스로 패킷이 들어올 때의 리디렉션을 지정합니다.
interface_name
패킷을 리디렉션해야 하는 인터페이스의 이름입니다.
service
서비스 그룹을 지정합니다. web-cache 키워드를 지정하거나, 서비스의
식별 번호(0~99)를 지정할 수 있습니다.
기본값
이 명령은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
예
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 웹 캐시 서비스의 내부 인터페이스에서 WCCP 리디렉션을 활성화하는 방법을 보여
줍니다.
ciscoasa(config)# wccp interface inside web-cache redirect in
관련 명령
명령
show wccp
설명
WCCP 컨피그레이션을 표시합니다.
wccp
서비스 그룹에 대한 WCCP 지원을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-4
5장
wccp through zonelabs integrity ssl-client-authentication 명령
web-agent-url
web-agent-url
ASA에서 SiteMinder 유형 SSO 인증을 요청할 SSO 서버 URL을 지정하려면
config-webvpn-sso-siteminder 모드에서 web-agent-url 명령을 사용합니다.
SSO 서버 인증 URL을 제거하려면 이 명령의 no 형식을 사용합니다.
web-agent-url url
no web-agent-url url
참고
이 명령은 SiteMinder 유형 SSO 인증에 필요합니다.
구문 설명
url
기본값
기본적으로 인증 URL은 구성되지 않습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
SiteMinder 유형 SSO 서버의 인증 URL을 지정합니다. http:// 또는 https://
를 포함해야 합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
config-webvpn-sso-siteminder
명령 기록
사용 지침
릴리스
7.1(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
SSO(WebVPN에만 제공) 지원을 통해 사용자가 사용자 이름 및 비밀번호를 단 한 번만 입력하여 여
러 서버에서 다양한 보안 서비스에 액세스할 수 있습니다. SSO 서버는 인증 요청을 처리하는 URL
이 있습니다.
이 명령은 SiteMinder 유형 SSO 서버에만 적용됩니다.
web-agent-url 명령을 사용하여 이 URL로 인증을 보내도록 ASA를 구성할 수 있습니다. 인증 URL
을 구성하기 전에 sso-server 명령을 사용하여 SSO 서버를 만들어야 합니다.
보안 어플라이언스와 SSO 서버 간의 https 통신에서는 SSL 암호화 설정이 양쪽에서 일치하는지 확
인합니다. 보안 어플라이언스에서는 ssl encryption 명령을 사용하여 이를 확인합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-5
5장
wccp through zonelabs integrity ssl-client-authentication 명령
web-agent-url
예
config-webvpn-sso-siteminder 모드에서 입력된 다음 예에서는 인증 URL을
http://www.example.com/webvpn으로 지정합니다.
ciscoasa(config-webvpn)# sso-server example type siteminder
ciscoasa(config-webvpn-sso-siteminder)# web-agent-url http://www.example.com/webvpn
ciscoasa(config-webvpn-sso-siteminder)#
관련 명령
명령
max-retry-attempts
설명
ASA에서 SSO 인증을 재시도할 수 있는 횟수를 구성합니다.
policy-server-secret
SiteMinder-type SSO 서버에 대한 인증 요청을 암호화하는
데 사용되는 비밀 키를 생성합니다.
request-timeout
시간 초과로 인해 SSO 인증 시도가 실패하는 시간(초)을 지
정합니다.
show webvpn sso-server
보안 장치에 구성된 모든 SSO 서버에 대한 운영 통계를 표시
합니다.
ssl encryption
SSL/TLS 프로토콜에서 사용하는 암호화 알고리즘을 지정합
니다.
sso-server
SSO(Single Sign On) 서버를 만듭니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-6
5장
wccp through zonelabs integrity ssl-client-authentication 명령
web-applications
web-applications
인증된 WebVPN 사용자에게 표시되는 WebVPN 홈 페이지의 Web Application(웹 애플리케이션) 상
자를 사용자 지정하려면 webvpn customization 모드에서 web-applications 명령을 사용합니다.
web-applications {title | message | dropdown} {text | style} value
[no] web-applications {title | message | dropdown} {text | style} value
컨피그레이션에서 명령을 제거하고 값이 상속되도록 하려면 이 명령의 no 형식을 사용합니다.
구문 설명
기본값
title
제목을 변경하도록 지정합니다.
message
제목 아래에 표시되는 메시지를 변경하도록 지정합니다.
dropdown
드롭다운 상자를 변경하도록 지정합니다.
text
텍스트를 변경하도록 지정합니다.
style
HTML 스타일을 변경하도록 지정합니다.
value
표시할 실제 텍스트(최대 256자) 또는 CSS(Cascading Style Sheet) 매개변
수(최대 256자)입니다.
기본 제목 텍스트는 “Web Application”입니다.
기본 제목 스타일은 background-color:#99CCCC;color:black;font-weight:bold;text-transform:
uppercase입니다.
기본 메시지 텍스트는 “Enter Web Address (URL)”입니다.
기본 메시지 스타일은 background-color:#99CCCC;color:maroon;font-size:smaller입니다.
기본 드롭다운 텍스트는 “Web Bookmarks”입니다.
기본 드롭다운 스타일은 border:1px solid black;font-weight:bold;color:black;font-size:80%입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
webvpn customization
명령 기록
릴리스
7.1(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-7
5장
wccp through zonelabs integrity ssl-client-authentication 명령
web-applications
사용 지침
style 옵션은 유효한 모든 CSS(Cascading Style Sheet) 매개변수로 표현됩니다. 이러한 매개변수에
대한 설명은 이 문서의 범위를 벗어납니다. CSS 매개변수에 대한 자세한 내용은
W3C(World Wide Web Consortium) 웹사이트(www.w3.org)에서 CSS 사양을 참조하십시오. CSS 2.1
사양의 부록 F(www.w3.org/TR/CSS21/propidx.html)에는 CSS 매개변수 목록이 포함되어 있습니다.
다음은 WebVPN 페이지에서 수행할 수 있는 가장 일반적인 변경(페이지 색상 변경) 작업에 대한 몇
가지 팁입니다.
참고
예
•
쉼표로 구분된 RGB 값, HTML 색상 값 또는 색상 이름(HTML에서 인식되는 경우)을 사용할 수
있습니다.
•
RGB 형식은 0,0,0이며, 각 색상(빨간색, 녹색, 파란색)의 십진수 범위는 0~255입니다. 여기서
쉼표로 구분된 항목은 다른 색상과 조합할 각 색상의 강도를 나타냅니다.
•
HTML 형식은 16진수 형식의 6자리 숫자인 #000000입니다. 여기서 첫 번째와 두 번째는 빨간
색, 세 번째와 네 번째는 녹색, 다섯 번째와 여섯 번째는 파란색을 나타냅니다.
WebVPN 페이지를 쉽게 사용자 지정하려면 색상 견본 및 미리보기 기능 등 스타일 요소 컨피그레
이션에 대한 편리한 기능이 있는 ASDM을 사용하는 것이 좋습니다.
다음 예에서는 제목을 “Applications”로 변경하고 텍스트 색상으로 파란색으로 변경합니다.
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# customization cisco
ciscoasa(config-webvpn-custom)# web-applications title text Applications
ciscoasa(config-webvpn-custom)# web-applications title style color:blue
관련 명령
명령
application-access
설명
WebVPN 홈 페이지의 Application Access(애플리케이션 액세스) 상자를 사
용자 지정합니다.
browse-networks
WebVPN 홈 페이지의 Browse Networks(네트워크 찾아보기) 상자를 사용
자 지정합니다.
web-bookmarks
WebVPN 홈 페이지에서 Web Bookmarks(웹 책갈피) 제목 또는 링크를 사용
자 지정합니다.
file-bookmarks
WebVPN 홈 페이지에서 Web Bookmarks(파일 책갈피) 제목 또는 링크를 사
용자 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-8
5장
wccp through zonelabs integrity ssl-client-authentication 명령
web-bookmarks
web-bookmarks
인증된 WebVPN 사용자에게 표시되는 WebVPN 홈 페이지의 Web Bookmarks(웹 책갈피) 제목 또는
링크를 사용자 지정하려면 webvpn customization 모드에서 web-bookmarks 명령을 사용합니다.
web-bookmarks {link {style value} | title {style value | text value}}
[no] web-bookmarks {link {style value} | title {style value | text value}}
컨피그레이션에서 명령을 제거하고 값이 상속되도록 하려면 이 명령의 no 형식을 사용합니다.
구문 설명
기본값
link
링크를 변경하도록 지정합니다.
title
제목을 변경하도록 지정합니다.
style
HTML 스타일을 변경하도록 지정합니다.
text
텍스트를 변경하도록 지정합니다.
value
표시할 실제 텍스트(최대 256자) 또는 CSS(Cascading Style Sheet) 매개변
수(최대 256자)입니다.
기본 링크 스타일은 color:#669999;border-bottom: 1px solid #669999;text-decoration:none입니다.
기본 제목 스타일은 color:#669999;background-color:#99CCCC;font-weight:bold입니다.
기본 제목 텍스트는 “Web Bookmarks”입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
webvpn customization
명령 기록
사용 지침
릴리스
7.1(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
style 옵션은 유효한 모든 CSS(Cascading Style Sheet) 매개변수로 표현됩니다. 이러한 매개변수에
대한 설명은 이 문서의 범위를 벗어납니다. CSS 매개변수에 대한 자세한 내용은
W3C(World Wide Web Consortium) 웹사이트(www.w3.org)에서 CSS 사양을 참조하십시오. CSS 2.1
사양의 부록 F(www.w3.org/TR/CSS21/propidx.html)에는 CSS 매개변수 목록이 포함되어 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-9
5장
wccp through zonelabs integrity ssl-client-authentication 명령
web-bookmarks
다음은 WebVPN 페이지에서 수행할 수 있는 가장 일반적인 변경(페이지 색상 변경) 작업에 대한 몇
가지 팁입니다.
참고
예
•
쉼표로 구분된 RGB 값, HTML 색상 값 또는 색상 이름(HTML에서 인식되는 경우)을 사용할 수
있습니다.
•
RGB 형식은 0,0,0이며, 각 색상(빨간색, 녹색, 파란색)의 십진수 범위는 0~255입니다. 여기서
쉼표로 구분된 항목은 다른 색상과 조합할 각 색상의 강도를 나타냅니다.
•
HTML 형식은 16진수 형식의 6자리 숫자인 #000000입니다. 여기서 첫 번째와 두 번째는 빨간
색, 세 번째와 네 번째는 녹색, 다섯 번째와 여섯 번째는 파란색을 나타냅니다.
WebVPN 페이지를 쉽게 사용자 지정하려면 색상 견본 및 미리보기 기능 등 스타일 요소 컨피그레
이션에 대한 편리한 기능이 있는 ASDM을 사용하는 것이 좋습니다.
다음 예에서는 Web Bookmarks(웹 책갈피) 제목을 “Corporate Web Bookmarks”로 사용자 지정합
니다.
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# customization cisco
ciscoasa(config-webvpn-custom)# web-bookmarks title text Corporate Web Bookmarks
관련 명령
명령
application-access
설명
WebVPN 홈 페이지의 Application Access(애플리케이션 액세스) 상자를 사
용자 지정합니다.
browse-networks
WebVPN 홈 페이지의 Browse Networks(네트워크 찾아보기) 상자를 사용
자 지정합니다.
file-bookmarks
WebVPN 홈 페이지에서 Web Bookmarks(파일 책갈피) 제목 또는 링크를 사
용자 지정합니다.
web-applications
WebVPN 홈 페이지의 Web Application(웹 애플리케이션) 상자를 사용자 지
정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-10
5장
wccp through zonelabs integrity ssl-client-authentication 명령
webvpn
webvpn
webvpn 모드를 시작하려면 전역 컨피그레이션 모드에서 webvpn 명령을 입력합니다. 이 명령과 함
께 입력된 모든 명령을 제거하려면 no webvpn 명령을 사용합니다. 이러한 webvpn 명령은 모든
WebVPN 사용자에게 적용됩니다.
이러한 webvpn 명령을 통해 AAA 서버, 기본 그룹 정책, 기본 유휴 시간 제한, http 및 https 프록시,
WebVPN용 NBNS 서버, 엔드 유저에게 표시되는 WebVPN 화면의 모양 등을 구성할 수 있습니다.
webvpn
no webvpn
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
WebVPN은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
예
—
단일
•
상황
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
이 WebVPN 모드에서는 WebVPN에 대한 전역 설정을 구성할 수 있습니다. group-policy 모드 또는
username 모드에서 시작된 WebVPN 모드에서는 특정 사용자 또는 그룹 정책에 대한 WebVPN 컨피
그레이션을 사용자 지정할 수 있습니다. ASA 클라이언트리스 SSL VPN 컨피그레이션에서는 각각
하나의 http-proxy 및 하나의 https-proxy 명령만 지원합니다.
참고
예
•
투명
WebVPN이 작동하려면 브라우저 캐싱을 활성화해야 합니다.
다음 예에서는 WebVPN 명령 모드를 시작하는 방법을 보여 줍니다.
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-11
5장
wccp through zonelabs integrity ssl-client-authentication 명령
webvpn(group-policy 및 username 모드)
webvpn(group-policy 및 username 모드)
이 webvpn 모드를 시작하려면 group-policy 컨피그레이션 모드 또는 username 컨피그레이션 모드
에서 webvpn 명령을 사용합니다. webvpn 모드에서 입력된 모든 명령을 제거하려면 이 명령의 no
형식을 사용합니다. 이러한 webvpn 명령은 이를 구성한 사용자 이름 또는 그룹 정책에 적용됩니다.
그룹 정책 및 사용자 이름에 대한 Webvpn 명령은 WebVPN을 통한 파일, MAPI 프록시, URL 및 TCP
애플리케이션 액세스를 정의합니다. 또한 ACL 및 필터링할 트래픽 유형을 식별합니다.
webvpn
no webvpn
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
WebVPN은 기본적으로 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
명령 기록
사용 지침
라우팅됨
투명
단일
상황
시스템
group-policy 컨피그레이션
•
예
—
•
예
—
username 컨피그레이션
•
예
—
•
예
—
릴리스
7.0(1)
수정 사항
이 명령이 도입되었습니다.
전역 컨피그레이션 모드에서 시작된 Webvpn 모드에서는 WebVPN에 대한 전역 설정을 구성할 수
있습니다. group-policy attributes 컨피그레이션 모드 또는 username attributes 컨피그레이션 모드의
webvpn 명령은 webvpn 명령에 지정된 설정을 상위 명령에 지정된 그룹 또는 사용자에게 적용합니
다. 즉, 이 섹션에 설명되고 group-policy 또는 username 모드에서 시작된 webvpn 모드에서는 특정
사용자 그룹 정책에 대한 WebVPN 컨피그레이션을 사용자 지정할 수 있습니다.
group-policy attributes 모드에서 특정 그룹 정책에 적용한 webvpn 특성은 기본 그룹 정책에 지정된
특성을 재정의합니다. username attributes 모드에서 특정 사용자에게 적용한 WebVPN 특성은 기본
그룹 정책 및 해당 사용자가 속한 그룹 정책에 지정된 특성을 모두 재정의합니다. 기본적으로 이러
한 명령을 사용하면 기본 그룹 또는 지정된 그룹 정책에서 상속되는 설정을 조정할 수 있습니다.
WebVPN 설정에 대한 자세한 내용은 전역 컨피그레이션 모드의 webvpn 명령에 대한 설명을 참고
하십시오.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-12
5장
wccp through zonelabs integrity ssl-client-authentication 명령
webvpn(group-policy 및 username 모드)
다음 표에는 webvpn group-policy attributes 및 username attributes 모드에서 구성할 수 있는 특성이
나와 있습니다. 자세한 내용은 개별 명령 설명을 참고하십시오.
특성
auto-signon
customization
deny-message
filter
functions
homepage
html-content-filter
http-comp
keep-alive-ignore
port-forward
port-forward-name
sso-server
svc
url-list
예
설명
WebVPN 사용자에 대한 SSO(Single Sign On) 방법을 제공하여
WebVPN 사용자 로그인 자격 증명을 내부 서버로 자동으로 전달
하도록 ASA를 구성합니다.
적용할 미리 구성된 WebVPN 사용자 지정 항목을 지정합니다.
액세스가 거부된 경우 사용자에게 표시할 메시지를 지정합니다.
WebVPN 연결에 사용할 액세스 목록을 식별합니다.
파일 액세스 및 파일 검색, MAPI 프록시, WebVPN을 통한 URL
입력을 구성합니다.
WebVPN 사용자가 로그인할 때 표시되는 웹 페이지의 URL을 설
정합니다.
WebVPN 세션에 대해 필터링할 Java, ActiveX, 이미지, 스크립트
및 쿠키를 식별합니다.
사용할 HTTP 압축 알고리즘을 지정합니다.
세션 업데이트 시 무시할 최대 개체 크기를 지정합니다.
WebVPN 애플리케이션 액세스를 활성화합니다.
엔드 유저에 대한 TCP 포트 전달을 식별하는 표시 이름을 구성합
니다.
SSO 서버 이름을 구성합니다.
SSL VPN 클라이언트 특성을 구성합니다.
사용자가 WebVPN을 통해 액세스할 수 있는 서버 및 URL 목록을
식별합니다.
다음 예에서는 "FirstGroup"이라는 그룹 정책에 대한 webvpn 모드를 시작하는 방법을 보여 줍니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-webvpn)#
다음 예에서는 "test"라는 사용자 이름에 대한 webvpn 모드를 시작하는 방법을 보여 줍니다.
ciscoasa(config)# group-policy test attributes
ciscoasa(config-username)# webvpn
ciscoasa(config-webvpn)#
관련 명령
clear configure group-policy
특정 그룹 정책 또는 모든 그룹 정책에 대한 컨피그레이션을
제거합니다.
group-policy attributes
지정된 그룹 정책에 대한 특성 및 값을 구성하거나, webvpn 모
드를 시작하여 그룹에 대한 webvpn 특성을 구성할 수 있는
config-group-policy 모드를 시작합니다.
show running-config
group-policy
특정 그룹 정책 또는 모든 그룹 정책에 대한 실행 중인 컨피그
레이션을 표시합니다.
webvpn
지정된 그룹에 대한 WebVPN 특성을 구성할 수 있는
config-group-webvpn 모드를 시작합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-13
5장
wccp through zonelabs integrity ssl-client-authentication 명령
whitelist
whitelist
Cloud Web Security의 경우 트래픽의 클래스에 대한 허용 목록 작업을 수행하려면 클래스 컨피그
레이션 모드에서 whitelist 명령을 사용합니다. 먼저 policy-map type inspect scansafe 명령을 입력
한 다음 parameters 명령을 입력하여 클래스 컨피그레이션 모드에 액세스할 수 있습니다. 허용 목
록을 비활성화하려면 이 명령의 no 형식을 사용합니다.
whitelist
no whitelist
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
명령 기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
클래스 컨피그레이션
명령 기록
릴리스
9.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
class-map type inspect scansafe 명령을 사용하여 허용 목록에 추가할 트래픽을 식별합니다.
policy-map type inspect scansafe 명령에서 검사 클래스 맵을 사용하고 해당 클래스에 대해
whitelist 작업을 지정합니다. inspect scansafe 명령에서 검사 정책 맵을 호출합니다.
예
다음 예에서는 HTTP 및 HTTPS 검사 정책 맵에 대해 동일한 사용자 및 그룹을 허용 목록에 추가합
니다.
ciscoasa(config)# class-map type inspect scansafe match-any whitelist1
ciscoasa(config-cmap)# match user user1 group cisco
ciscoasa(config-cmap)# match user user2
ciscoasa(config-cmap)# match group group1
ciscoasa(config-cmap)# match user user3 group group3
ciscoasa(config)# policy-map type inspect scansafe cws_inspect_pmap1
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# http
ciscoasa(config-pmap-p)# default group default_group
ciscoasa(config-pmap-p)# class whitelist1
ciscoasa(config-pmap-c)# whitelist
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-14
5장
wccp through zonelabs integrity ssl-client-authentication 명령
whitelist
ciscoasa(config)# policy-map type inspect scansafe cws_inspect_pmap2
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# https
ciscoasa (config pmap P) # default-information group2 default_group2
ciscoasa(config-pmap-p)# class whitelist1
ciscoasa(config-pmap-c)# whitelist
관련 명령
명령
설명
class-map type inspect 허용 목록의 사용자 및 그룹에 대한 검사 클래스 맵을 만듭니다.
scansafe
default user group
ASA에서 ASA에 연결하는 사용자의 ID를 확인할 수 없는 경우 기본 사
용자 이름 및/또는 그룹을 지정합니다.
http[s](매개변수)
inspect scansafe
검사 정책 맵의 서비스 유형(HTTP 또는 HTTPS)을 지정합니다.
license
요청을 보낸 조직을 나타내기 위해 ASA에서 Cloud Web Security 프록시
서버로 보내는 인증 키를 구성합니다.
match user group
사용자 또는 그룹이 허용 목록과 일치하는지 확인합니다.
policy-map type
inspect scansafe
규칙의 필수 매개변수를 구성하고 선택적으로 허용 목록을 식별할 수 있
도록 검사 정책 맵을 만듭니다.
retry-count
ASA에서 Cloud Web Security 프록시 서버를 폴링하여 해당 가용성을 확
인하기 전에 대기할 시간인 재시도 카운터 값을 입력합니다.
scansafe
다중 상황 모드에서 상황별로 Cloud Web Security를 허용합니다.
scansafe
general-options
일반 Cloud Web Security 서버 옵션을 구성합니다.
server {primary |
backup}
기본 또는 백업 Cloud Web Security 프록시 서버의 FQDN(정규화된 도메
인 이름) 또는 IP 주소를 구성합니다.
show conn scansafe
대문자 Z 플래그를 지정하여 모든 Cloud Web Security 연결을 표시합니다.
show scansafe server
현재 활성 서버인지, 백업 서버인지 또는 연결할 수 없는지와 같은 서버
의 상태를 표시합니다.
show scansafe
statistics
총 HTTP 연결 수와 현재 HTTP 연결 수를 표시합니다.
user-identity monitor
AD 에이전트에서 지정된 사용자 또는 그룹 정보를 다운로드합니다.
클래스의 트래픽에 대한 Cloud Web Security 검사를 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-15
5장
wccp through zonelabs integrity ssl-client-authentication 명령
who
who
ASA의 활성 텔넷 관리 세션을 표시하려면 특권 EXEC 모드에서 who 명령을 사용합니다.
who [local_ip]
구문 설명
local_ip
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
(선택 사항) 하나의 내부 IP 주소 또는 네트워크 주소(IPv4 또는 IPv6)로 목록을 제
한하려면 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
릴리스
7.0(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
사용 지침
who 명령을 사용하면 현재 ASA에 로그인된 각 텔넷 클라이언트의 TTY_ID 및 IP 주소를 표시할 수
있습니다.
예
다음 예에서는 클라이언트가 텔넷 세션을 통해 ASA에 로그인한 경우 who 명령의 출력을 표시합
니다.
ciscoasa# who
0: 100.0.0.2
ciscoasa# who 100.0.0.2
0: 100.0.0.2
ciscoasa#
관련 명령
명령
kill
설명
Telnet 세션을 종료합니다.
telnet
텔넷 액세스를 ASA 콘솔에 추가하고 유휴 시간 제한을 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-16
5장
wccp through zonelabs integrity ssl-client-authentication 명령
window-variation
window-variation
윈도우 크기 변형과의 연결을 끊으려면 tcp-map 컨피그레이션 모드에서 window-variation 명령을
사용합니다. 이 사양을 제거하려면 이 명령의 no 형식을 사용합니다.
window variation {allow-connection | drop-connection}
no window variation {allow-connection | drop-connection}
구문 설명
allow-connection
연결을 허용합니다.
drop-connection
연결을 끊습니다.
기본값
기본 동작은 연결을 허용하는 것입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
tcp-map 컨피그레이션
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
tcp map 명령은 MPF(Modular Policy Framework) 인프라와 함께 사용됩니다. class-map 명령을 사
용하여 트래픽의 클래스를 정의하고, tcp-map 명령을 사용하여 TCP 검사를 사용자 지정합니다. 새
TCP 맵은 policy-map 명령을 사용하여 적용합니다. TCP 검사는 service-policy 명령을 사용하여 활
성화합니다.
tcp-map 명령을 사용하여 tcp-map 컨피그레이션 모드를 시작할 수 있습니다. tcp-map 컨피그레이
션 모드에서 window-variation 명령을 사용하여 윈도우 크기가 축소된 모든 연결을 끊을 수 있습
니다.
윈도우 크기 메커니즘은 TCP에서 지나치게 많은 데이터를 허용하지 않고도 큰 윈도우를 보급하고
이후에 훨씬 작은 윈도우를 보급할 수 있도록 합니다. TCP 사양에서는 “윈도우 축소”가 권장되지
않습니다. 이 조건이 감지되면 연결이 끊어질 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-17
5장
wccp through zonelabs integrity ssl-client-authentication 명령
window-variation
예
다음 예에서는 윈도우 크기가 다양한 모든 연결을 끊는 방법을 보여 줍니다.
ciscoasa(config)# access-list TCP extended permit tcp any any
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# window-variation drop-connection
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match access-list TCP
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
관련 명령
명령
class
설명
트래픽 분류에 사용할 클래스 맵을 지정합니다.
policy-map
정책, 즉 트래픽 클래스와 하나 이상의 작업 연계를 구성합니다.
set connection
연결 값을 구성합니다.
tcp-map
TCP 맵을 만들고 tcp-map 컨피그레이션 모드에 대한 액세스를 허용합
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-18
5장
wccp through zonelabs integrity ssl-client-authentication 명령
wins-server
wins-server
기본 및 보조 WINS 서버의 IP 주소를 설정하려면 group-policy 컨피그레이션 모드에서 wins-server
명령을 사용합니다. 실행 중인 컨피그레이션에서 특성을 제거하려면 이 명령의 no 형식을 사용합
니다. 이 옵션을 사용하면 다른 그룹 정책에서 WINS 서버를 상속하도록 허용됩니다. 서버를 상속
하지 못하도록 하려면 wins-server none 명령을 사용합니다.
wins-server value {ip_address} [ip_address] | none
no wins-server
구문 설명
none
wins-server를 null 값으로 설정하여 WINS 서버를 허용하지 않습니다. 기본
또는 지정된 그룹 정책에서 값을 상속하지 못하도록 합니다.
value ip_address
기본 및 보조 WINS 서버의 IP 주소를 설정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
group-policy 컨피그레이션
명령 기록
릴리스
7.0(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
wins-server 명령을 입력할 때마다 기존 설정을 덮어씁니다. 예를 들어 WINS 서버 x.x.x.x를 구성
한 후 WINS 서버 y.y.y.y를 구성하는 경우 두 번째 명령이 첫 번째 명령을 덮어쓰고, y.y.y.y가 유일
한 WINS 서버가 됩니다. 서버가 여러 개라도 마찬가지입니다. 이전에 구성한 서버를 덮어쓰지 않
고 WINS 서버를 추가하려면 이 명령을 입력할 때 모든 WINS 서버의 IP 주소를 포함하십시오.
예
다음 예에서는 FirstGroup이라는 그룹 정책에 대해 IP 주소가 10.10.10.15, 10.10.10.30 및
10.10.10.45인 WINS 서버를 구성하는 방법을 보여 줍니다.
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30 10.10.10.45
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-19
wccp through zonelabs integrity ssl-client-authentication 명령
5장
without-csd
without-csd
group-urls 테이블의 항목 중 하나를 입력하여 VPN 세션을 설정한 경우 연결 프로파일 단위로 실행
중인 Cisco Secure Desktop에서 특정 사용자를 제외하려면 tunnel webvpn 컨피그레이션 모드에서
without-csd 명령을 사용합니다. 이 명령을 컨피그레이션에서 제거하려면 이 명령의 no 형식을 사
용합니다.
ciscoasa(config-tunnel-webvpn)# without-csd
ciscoasa(config-tunnel-webvpn)#
구문 설명
anyconnect
기본값
기본값은 없습니다. 이 ASA의 컨피그레이션에 csd enable 명령이 포함된 경우 기본 동작은 각 엔
드포인트에서 Cisco Secure Desktop을 실행하는 것입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
(선택 사항) AnyConnect 연결에만 영향을 주도록 명령을 변경합니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
tunnel webvpn 컨피그레이션
명령 기록
릴리스
8.2(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
이 명령은 사용자가 이 연결 프로파일(CLI에서는 터널 그룹이라고 함)에 구성된 url-group 목록에
URL을 입력한 경우 Cisco Secure Desktop이 엔드포인트에서 실행되지 못하도록 합니다. 이 명령을
입력하면 이러한 세션에 대한 엔드포인트 조건 감지가 방지되므로 DAP(동적 액세스 정책) 컨피그
레이션을 조정해야 할 수 있습니다.
예
다음 예의 첫 번째 명령은 “example.com”이 ASA의 도메인이고 “no-csd”가 URL의 고유한 부분인
group-url을 만듭니다. 사용자가 이 URL을 입력하면 ASA에서 세션에 이 연결 프로파일을 할당합
니다. without-csd 명령을 적용하려면 group-url 명령이 필요합니다. without-csd 명령은 실행 중인
Cisco Secure Desktop에서 사용자를 제외합니다.
ciscoasa(config-tunnel-webvpn)# group-url https://example.com/no-csd enable
ciscoasa(config-tunnel-webvpn)# without-csd
ciscoasa(config-tunnel-webvpn)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-20
5장
wccp through zonelabs integrity ssl-client-authentication 명령
without-csd
관련 명령
명령
csd enable
설명
without-csd 명령이 없는 모든 연결 프로파일에 대해 Cisco Secure Desktop을
활성화합니다.
csd image
명령에 이름이 지정된 Cisco Secure Desktop 이미지를 경로에 지정된 플래
시 드라이브에서 실행 중인 컨피그레이션과으로 복사합니다.
group-url
이 연결 프로파일에 고유한 group-url을 만듭니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-21
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write erase
write erase
시작 컨피그레이션을 지우려면 특권 EXEC 모드에서 write erase 명령을 사용합니다. 실행 중인 컨
피그레이션은 그대로 유지됩니다.
write erase
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
—
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
이 명령은 보안 상황 내에서 지원되지 않습니다. 상황 시작 컨피그레이션은 시스템 컨피그레이션
에서 config-url 명령으로 식별됩니다. 상황 컨피그레이션을 삭제하려면 원격 서버(지정된 경우)에
서 파일을 수동으로 제거하거나, 시스템 실행 공간에서 delete 명령을 사용하여 플래시 메모리에서
파일을 지우면 됩니다.
ASAv의 경우 이 명령은 다시 로드 후 배포 컨피그레이션을 복원합니다. 컨피그레이션을 완전히 지
우려면 clear configure all 명령을 사용합니다.
ASAv의 경우 write erase 명령은 reload 후 배포 컨피그레이션을 복원합니다.
참고
ASAv는 현재 실행 중인 이미지를 부팅하므로 원래 부트 이미지로 되돌아가지 않습니다.
다시 로드하기 전에 컨피그레이션을 저장하지 마십시오.
장애 조치 쌍의 ASAv에서는 먼저 대기 장치의 전원을 끕니다. 대기 장치가 활성화되는 것을 방지
하려면 전원을 꺼야 합니다. 그대로 두면 활성 장치 컨피그레이션을 지운 경우 대기 장치가 활성화
됩니다. 이전 활성 장치를 다시 로드하고 장애 조치 링크를 통해 다시 연결한 경우 이전 컨피그레
이션이 새 활성 장치에서 동기화되어 원하는 배포 컨피그레이션이 삭제됩니다. 활성 장치를 다시
로드한 후 대기 장치의 전원을 켤 수 있습니다. 그러면 배포 컨피그레이션이 대기 장치에 동기화됩
니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-22
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write erase
예
다음 예에서는 시작 컨피그레이션을 지웁니다.
ciscoasa# write erase
Erase configuration in flash memory? [confirm] y
관련 명령
명령
configure net
설명
지정된 TFTP URL의 컨피그레이션 파일을 실행 중인 컨피그레이션과과
병합합니다.
delete
플래시 메모리에서 파일을 제거합니다.
show running-config
실행 중인 컨피그레이션을 표시합니다.
write memory
실행 중인 컨피그레이션을 시작 컨피그레이션에 저장합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-23
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write memory
write memory
실행 중인 컨피그레이션을 시작 컨피그레이션에 저장하려면 특권 EXEC 모드에서 write memory
명령을 사용합니다.
write memory [all [/noconfirm]]
구문 설명
/noconfirm
all 키워드를 사용한 경우 확인 프롬프트를 제거합니다.
all
다중 상황 모드의 시스템 실행 공간에서 이 키워드는 모든 상황 컨피그레
이션 및 시스템 컨피그레이션을 저장합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
사용 지침
릴리스
7.2(1)
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이제 all 키워드를 사용하여 모든 상황 컨피그레이션을 저장할 수 있습니다.
실행 중인 컨피그레이션은 커맨드 라인에서 적용한 모든 변경 사항을 포함하여 메모리에서 현재
실행되고 있는 컨피그레이션입니다. 변경 사항은 시작 구성(시작 시 실행 중인 메모리로 로드되는
구성)에 저장한 경우 재부팅 간에만 유지됩니다. boot config 명령을 사용하여 단일 상황 모드에 대
한 시작 컨피그레이션 위치 및 다중 상황 모드의 시스템에 대한 시작 컨피그레이션 위치를 기본 위
치(숨겨진 파일)에서 선택한 위치로 변경할 수 있습니다. 다중 상황 모드의 경우 상황 시작 컨피그
레이션은 시스템 컨피그레이션에서 config-url 명령으로 지정한 위치에 있습니다.
다중 상황 모드에서는 각 상황에서 write memory 명령을 입력하여 현재 상황 컨피그레이션을 저
장할 수 있습니다. 모든 상황 컨피그레이션을 저장하려면 시스템 실행 공간에서 write memory all
명령을 입력합니다. 상황 시작 컨피그레이션은 외부 서버에 상주할 수 있습니다. 이 경우 ASA는
컨피그레이션을 서버로 다시 저장할 수 없는 HTTP 및 HTTPS URL을 제외하고는 config-url 명령
으로 지정된 서버로 컨피그레이션을 다시 저장합니다. write memory all 명령을 통해 ASA가 각 상
황을 저장한 후에는 다음과 같은 메시지가 표시됩니다.
‘Saving context ‘b’ ... ( 1/3 contexts saved ) ’
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-24
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write memory
오류로 인해 상황이 저장되지 않는 경우가 있습니다. 오류에 대한 다음 정보를 참고하십시오.
•
메모리 부족으로 인해 저장되지 않는 상황의 경우 다음 메시지가 표시됩니다.
The context 'context a' could not be saved due to Unavailability of resources
•
원격 대상에 연결할 수 없어 저장되지 않는 상황의 경우 다음 메시지가 표시됩니다.
The context 'context a' could not be saved due to non-reachability of destination
•
잠겨 있어 저장되지 않는 상황의 경우 다음 메시지가 표시됩니다.
Unable to save the configuration for the following contexts as these contexts are
locked.
context ‘a’ , context ‘x’ , context ‘z’.
상황은 다른 사용자가 컨피그레이션을 이미 저장하고 있거나 상황을 삭제하는 중인 경우에만
잠깁니다.
•
시작 컨피그레이션이 읽기 전용(예: HTTP 서버의 경우)이어서 저장되지 않는 상황의 경우 다
른 모든 메시지 끝에 다음 메시지 보고서가 인쇄됩니다.
Unable to save the configuration for the following contexts as these contexts have
read-only config-urls:
context ‘a’ , context ‘b’ , context ‘c’.
•
플래시 메모리의 불량 섹터로 인해 저장되지 않는 상황의 경우 다음 메시지가 표시됩니다.
The context 'context a' could not be saved due to Unknown errors
시스템에서는 관리 상황 인터페이스를 사용하여 상황 시작 컨피그레이션에 액세스하기 때문에
write memory 명령에서도 관리 상황 인터페이스를 사용합니다. 그러나 write net 명령에서는 상황
인터페이스를 사용하여 컨피그레이션을 TFTP 서버에 기록합니다.
write memory 명령은 copy running-config startup-config 명령과 같습니다.
예
다음 예에서는 실행 중인 컨피그레이션을 시작 컨피그레이션에 저장합니다.
ciscoasa# write memory
Building configuration...
Cryptochecksum: e43e0621 9772bebe b685e74f 748e4454
19319 bytes copied in 3.570 secs (6439 bytes/sec)
[OK]
ciscoasa#
관련 명령
명령
admin-context
설명
관리 상황을 설정합니다.
configure memory
시작 컨피그레이션을 실행 중인 컨피그레이션과과 병합합니다.
config-url
상황 컨피그레이션의 위치를 지정합니다.
copy running-config
startup-config
실행 중인 컨피그레이션을 시작 컨피그레이션에 복사합니다.
write net
실행 중인 컨피그레이션을 TFTP 서버에 복사합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-25
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write net
write net
실행 중인 컨피그레이션을 TFTP 서버에 복사하려면 특권 EXEC 모드에서 write net 명령을 사용합
니다.
write net [server:[filename] | :filename]
구문 설명
:filename
경로 및 파일 이름을 지정합니다. tftp-server 명령을 사용하여 파일 이름
을 이미 설정한 경우 이 인수는 선택 사항입니다.
이 명령에서 파일 이름을 지정하고 tftp-server 명령에서 이름을 지정한
경우 ASA는 tftp-server 명령의 파일 이름을 디렉토리로 처리하고, write
net 명령의 파일 이름을 디렉토리 아래에 파일로 추가합니다.
tftp-server 명령 값을 재정의하려면 경로 및 파일 이름 앞에 슬래시를 입
력합니다. 슬래시는 경로가 tftpboot 디렉터리에 상대적인 것이 아니라 절
대 경로임을 나타냅니다. 이 파일에 대해 생성된 URL에는 파일 이름 경
로 앞에 이중 슬래시(//)가 포함됩니다. 원하는 파일이 tftpboot 디렉토리
에 있는 경우 tftpboot 디렉토리의 경로를 파일 이름 경로에 포함할 수 있
습니다. TFTP 서버가 이 유형의 URL을 지원하지 않으면 copy
running-config tftp 명령을 대신 사용합니다.
tftp-server 명령을 사용하여 TFTP 서버 주소를 지정한 경우 콜론(:) 뒤에
파일 이름만 입력할 수 있습니다.
server:
TFTP 서버 IP 주소 또는 이름을 설정합니다. 이 주소는 tftp-server 명령(
있는 경우)에서 설정한 주소를 재정의합니다.
기본 게이트웨이 인터페이스는 보안 수준이 가장 높은 인터페이스입니
다. 그러나 tftp-server 명령을 사용하여 다른 인터페이스 이름을 설정할
수 있습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
릴리스
7.0(1)
라우팅됨
•
예
•
예
수정 사항
이 명령이 도입되었습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-26
투명
단일
•
예
상황
•
예
시스템
•
예
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write net
사용 지침
실행 중인 컨피그레이션은 커맨드 라인에서 적용한 모든 변경 사항을 포함하여 메모리에서 현재
실행되고 있는 컨피그레이션입니다.
다중 상황 모드에서 이 명령은 현재 컨피그레이션만 저장합니다. 단일 명령으로 모든 상황을 저장
할 수는 없습니다. 시스템 및 각 상황에 대해 이 명령을 개별적으로 입력해야 합니다. 그러나 write
net 명령은 상황 인터페이스를 사용하여 컨피그레이션을 TFTP 서버에 기록합니다. 반면, write
memory 명령은 관리 상황 인터페이스를 사용하여 시작 컨피그레이션에 저장합니다. 시스템에서
는 관리 상황 인터페이스를 사용하여 상황 시장 컨피그레이션에 액세스하기 때문입니다.
write net 명령은 copy running-config tftp 명령과 같습니다.
예
다음 예에서는 tftp-server 명령에서 TFTP 서버 및 파일 이름을 설정합니다.
ciscoasa# tftp-server inside 10.1.1.1 /configs/contextbackup.cfg
ciscoasa# write net
다음 예에서는 write net 명령에서 서버 및 파일 이름을 설정합니다. tftp-server 명령은 채워지지
않습니다.
ciscoasa# write net 10.1.1.1:/configs/contextbackup.cfg
다음 예에서는 write net 명령에서 서버 및 파일 이름을 설정합니다. tftp-server 명령은 디렉토리
이름을 제공하므로 서버 주소가 재정의됩니다.
ciscoasa# tftp-server 10.1.1.1 configs
ciscoasa# write net 10.1.2.1:context.cfg
관련 명령
명령
configure net
설명
지정된 TFTP URL의 컨피그레이션 파일을 실행 중인 컨피그레이션과과
병합합니다.
copy running-config
tftp
실행 중인 컨피그레이션을 TFTP 서버에 복사합니다.
show running-config
실행 중인 컨피그레이션을 표시합니다.
tftp-server
다른 명령에서 사용할 기본 TFTP 서버 및 경로를 설정합니다.
write memory
실행 중인 컨피그레이션을 시작 컨피그레이션에 저장합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-27
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write standby
write standby
ASA 또는 상황 실행 중인 컨피그레이션을 장애 조치 대기 장치에 복사하려면 특권 EXEC 모드에
서 write standby 명령을 사용합니다.
write standby
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
사용 지침
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
•
예
수정 사항
이 명령이 도입되었습니다.
대기 장치 또는 장애 조치 그룹의 컨피그레이션이 활성 장치 또는 장애 조치 그룹의 컨피그레이션
과 동기화되지 않는 경우에만 이 명령을 사용해야 합니다. 이는 일반적으로 대기 장치 또는 장애 조
치 그룹에서 명령을 직접 입력한 경우에 발생합니다.
활성/대기 장애 조치의 경우 활성 장치에서 입력된 write standby 명령은 활성 장애 조치 장치의 실
행 중인 컨피그레이션을 대기 장치의 실행 중인 컨피그레이션에 기록합니다.
활성/활성 장애 조치의 경우 write standby 명령은 다음과 같이 동작합니다.
•
시스템 실행 공간에서 write standby 명령을 입력한 경우 ASA의 모든 보안 상황에 대한 컨피
그레이션 및 시스템 컨피그레이션이 피어 장치에 기록됩니다. 여기에는 대기 상태에 있는 보
안 상황에 대한 컨피그레이션 정보가 포함됩니다. 장애 조치 그룹 1이 활성 상태에 있는 장치
에서는 시스템 실행 공간에서 명령을 입력해야 합니다.
•
보안 상황에서 write standby 명령에 입력하면 보안 상황에 대한 컨피그레이션만 피어 장치에
기록됩니다. 보안 상황이 활성 상태로 표시되는 장치에서는 보안 상황에서 명령을 입력해야 합
니다.
write standby 명령은 피어 장치의 실행 중인 컨피그레이션에 컨피그레이션을 복제합니다. 컨피그
레이션을 시작 컨피그레이션에 저장하지 않습니다. 컨피그레이션 변경을 시작 컨피그레이션에 저
장하려면 write standby 명령을 입력한 동일한 장치에서 copy running-config startup-config 명령을
사용합니다. 이 명령은 피어 장치에 복제되고 컨피그레이션은 시작 컨피그레이션에 저장됩니다.
상태 저장 장애 조치가 활성화된 경우 write standby 명령은 컨피그레이션 복제가 완료된 후 상태
정보를 대기 장치에 복제합니다. 다중 상황 모드에서는 상태 정보를 복제할 상황 내에서 write
standby를 입력합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-28
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write standby
참고
예
write standby 명령을 입력한 후 컨피그레이션이 다시 동기화되는 동안 장애 조치 인터페이스가
일시적으로 중지됩니다. 이로 인해 장애 조치 상태 인터페이스의 일시적 오류가 감지될 수도 있
습니다.
다음 예에서는 현재 실행 중인 컨피그레이션을 대기 장치에 기록합니다.
ciscoasa# write standby
Building configuration...
[OK]
ciscoasa#
관련 명령
명령
failover
reload-standby
설명
대기 장치를 강제로 재부팅합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-29
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write terminal
write terminal
터미널에서 실행 중인 컨피그레이션을 표시하려면 특권 EXEC 모드에서 write terminal 명령을 사
용합니다.
write terminal
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
명령 기록
릴리스
7.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
수정 사항
이 명령이 도입되었습니다.
사용 지침
이 명령은 show running-config 명령과 같습니다.
예
다음 예에서는 실행 중인 컨피그레이션을 터미널에 기록합니다.
ciscoasa# write terminal
: Saved
:
ASA Version 7.0(0)61
multicast-routing
names
name 10.10.4.200 outside
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.86.194.60 255.255.254.0
webvpn enable
...
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-30
상황
•
예
시스템
•
예
5장
wccp through zonelabs integrity ssl-client-authentication 명령
write terminal
관련 명령
명령
configure net
설명
지정된 TFTP URL의 컨피그레이션 파일을 실행 중인 컨피그레이션과과
병합합니다.
show running-config
실행 중인 컨피그레이션을 표시합니다.
write memory
실행 중인 컨피그레이션을 시작 컨피그레이션에 저장합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-31
5장
wccp through zonelabs integrity ssl-client-authentication 명령
xlate per-session
xlate per-session
다중 세션 PAT를 사용하려면 전역 컨피그레이션 모드에서 xlate per-session 명령을 사용합니다. 다
중 세션 PAT 규칙을 제거하려면 이 명령의 no 형식을 사용합니다.
xlate per-session {permit | deny} {tcp | udp} source_ip [operator src_port] destination_ip
operator dest_port
no xlate per-session {permit | deny} {tcp | udp} source_ip [operator src_port] destination_ip
operator dest_port
구문 설명
deny
거부 규칙을 만듭니다.
destination_ip
대상 IP 주소에 대해 다음을 구성할 수 있습니다.
operator dest_port
•
host ip_address - IPv4 호스트 주소를 지정합니다.
•
ip_address mask - IPv4 네트워크 주소 및 서브넷 마스크를 지정합니다.
•
ipv6-address/prefix-length - IPv6 호스트 또는 네트워크 주소 및 접두
사를 지정합니다.
•
any4 및 any6 - any4는 IPv4 트래픽만 지정하고, any6은 any6 트래픽
을 지정합니다.
operator는 대상에서 사용하는 포트 번호와 일치합니다. 허용되는 연산
자는 다음과 같습니다.
•
lt - 보다 작음
•
gt - 보다 큼
•
eq - 같음
•
neq - 같지 않음
•
range - 값의 포함 범위 이 연산자를 사용할 경우 다음과 같이 두 개의
포트 번호를 지정합니다.
range 100 200
operator src_port
(선택 사항) operator는 소스에서 사용하는 포트 번호와 일치합니다. 허
용되는 연산자는 다음과 같습니다.
•
lt - 보다 작음
•
gt - 보다 큼
•
eq - 같음
•
neq - 같지 않음
•
range - 값의 포함 범위 이 연산자를 사용할 경우 다음과 같이 두 개의
포트 번호를 지정합니다.
range 100 200
permit
허용 규칙을 만듭니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-32
5장
wccp through zonelabs integrity ssl-client-authentication 명령
xlate per-session
소스 IP 주소에 대해 다음을 구성할 수 있습니다.
source_ip
명령 기본값
host ip_address - IPv4 호스트 주소를 지정합니다.
•
ip_address mask - IPv4 네트워크 주소 및 서브넷 마스크를 지정합니다.
•
ipv6-address/prefix-length - IPv6 호스트 또는 네트워크 주소 및 접두
사를 지정합니다.
•
any4 및 any6 - any4는 IPv4 트래픽만 지정하고, any6은 any6 트래픽
을 지정합니다.
tcp
TCP 트래픽을 지정합니다.
udp
UDP 트래픽을 지정합니다.
기본적으로 모든 TCP 트래픽 및 UDP DNS 트래픽에서는 세션별 PAT xlate를 사용합니다. 다음 기
본 규칙이 설치됩니다.
xlate
xlate
xlate
xlate
xlate
xlate
xlate
xlate
참고
per-session
per-session
per-session
per-session
per-session
per-session
per-session
per-session
permit
permit
permit
permit
permit
permit
permit
permit
tcp
tcp
tcp
tcp
udp
udp
udp
udp
any4
any4
any6
any6
any4
any4
any6
any6
any4
any6
any4
any6
any4
any6
any4
any6
eq
eq
eq
eq
domain
domain
domain
domain
이러한 규칙은 제거할 수 없으며, 항상 수동으로 만든 모든 규칙 뒤에 존재합니다. 규칙은 순서대
로 평가되므로 기본 규칙을 재정의할 수 있습니다. 예를 들어 이러한 규칙을 완전히 무시하려면 다
음 거부 규칙을 추가하면 됩니다.
xlate
xlate
xlate
xlate
xlate
xlate
xlate
xlate
명령 모드
•
per-session
per-session
per-session
per-session
per-session
per-session
per-session
per-session
deny
deny
deny
deny
deny
deny
deny
deny
tcp
tcp
tcp
tcp
udp
udp
udp
udp
any4
any4
any6
any6
any4
any4
any6
any6
any4
any6
any4
any6
any4
any6
any4
any6
eq
eq
eq
eq
domain
domain
domain
domain
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
9.0(1)
라우팅됨
•
예
투명
•
예
단일
•
예
상황
•
예
시스템
—
수정 사항
이 명령이 도입되었습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-33
5장
wccp through zonelabs integrity ssl-client-authentication 명령
xlate per-session
사용 지침
세션별 PAT 기능은 PAT의 확장성을 개선하며, 클러스터링의 경우 각 구성원 장치가 PAT 연결을 소
유할 수 있도록 합니다. 다중 세션 PAT 연결은 마스터 장치에서 전달하고 소유해야 합니다. 세션별
PAT 세션이 끝나면 ASA에서 재설정을 전송하고 xlate를 즉시 제거합니다. 이 재설정으로 인해 종
단 노드의 연결이 즉시 해제되므로 TIME_WAIT 상태가 방지됩니다. 반면, 다중 세션 PAT에서는
PAT 시간 제한(기본적으로 30초)을 사용합니다. HTTP 또는 HTTPS와 같은 “hit-and-run” 트래픽의
경우 세션별 기능은 하나의 주소에서 지원하는 연결 속도를 크게 증가시킬 수 있습니다. 세션별 기
능을 사용하지 않을 경우 IP 프로토콜의 단일 주소에 대한 최대 연결 속도는 약 2000/초입니다. 세
션별 기능을 사용할 경우 IP 프로토콜의 단일 주소에 대한 연결 속도는 65535/평균 수명입니다.
기본적으로 모든 TCP 트래픽 및 UDP DNS 트래픽에서는 세션별 PAT xlate를 사용합니다. H.323,
SIP 또는 Skinny와 같이 다중 세션 PAT가 유용할 수 있는 트래픽의 경우 세션별 PAT를 비활성화하
여 세션별 거부 규칙을 생성할 수 있습니다.
세션별 PAT 규칙을 추가한 경우 이 규칙은 기본 규칙 위에서 수동으로 만든 다른 모든 규칙 아래에
배치됩니다. 적용할 순서대로 규칙을 만들어야 합니다.
예
다음 예에서는 다중 세션 PAT를 사용하도록 H.323 트래픽에 대한 거부 규칙을 만듭니다.
ciscoasa(config)# xlate per-session deny tcp any4 209.165.201.7 eq 1720
ciscoasa(config)# xlate per-session deny udp any4 209.165.201.7 range 1718 1719
관련 명령
명령
clear configure xlate
설명
xlate per-session 규칙을 지웁니다.
nat(전역)
두 배 NAT 규칙을 추가합니다.
nat(개체)
show running-config xlate
개체 NAT 규칙을 추가합니다.
xlate per-session 규칙을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-34
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity fail-close
zonelabs-integrity fail-close
ASA와 Zone Labs Integrity Firewall Server 간의 연결에 실패한 경우 VPN 클라이언트 연결이 닫히
도록 ASA를 구성하려면 전역 컨피그레이션 모드에서 zonelabs-integrity fail-close 명령을 사용합
니다. Zone Labs 연결 실패 시 VPN 연결이 열린 상태로 유지되는 기본값을 복원하려면 이 명령의
no 형식을 사용합니다.
zonelabs-integrity fail-close
no zonelabs-integrity fail-close
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 연결은 실패 시 열린 상태로 유지됩니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
사용 지침
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
기본 Zone Labs Integrity Firewall Server가 ASA에 응답하지 않는 경우 ASA는 기본적으로 사설 네
트워크에 대한 VPN 클라이언트 연결을 설정합니다. 또한 기존 연결을 열린 상태로 유지합니다. 이
는 방화벽 서버 실패로 인해 엔터프라이즈 VPN이 중단되지 않도록 합니다. 그러나 Zone Labs
Integrity Firewall Server 실패 시 VPN 연결을 작동 상태로 유지하지 않으려면 zonelabs-integrity
fail-close 명령을 사용합니다.
Zone Labs Integrity Firewall Server에 대한 연결이 실패한 경우 ASA에서 클라이언트 VPN 연결을
유지하는 기본 조건으로 돌아가려면 zonelabs-integrity fail-open 명령을 사용합니다.
예
다음 예에서는 Zone Labs Integrity Firewall Server가 응답하지 않거나 연결이 중단된 경우 VPN 클
라이언트 연결을 닫도록 ASA를 구성합니다.
ciscoasa(config)# zonelabs-integrity fail-close
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-35
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity fail-close
관련 명령
명령
zonelabs-integrity fail-open
설명
ASA와 Zone Labs Integrity Firewall Server 간의 연결에 실패
한 후에도 ASA에 대한 VPN 클라이언트 연결이 열린 상태로
유지되도록 지정합니다.
zonelabs-integrity fail-timeout
ASA가 응답하지 않는 Zone Labs Integrity Firewall Server를
연결할 수 없는 것으로 선언하기 전까지의 경과 시간(초)을
지정합니다.
zonelabs-integrity server-address
ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를
추가합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-36
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity fail-open
zonelabs-integrity fail-open
ASA와 Zone Labs Integrity Firewall Server 간의 연결에 실패한 후에도 ASA에 대한 원격 VPN 클라
이언트 연결을 열린 상태로 유지하려면 전역 컨피그레이션 모드에서 zonelabs-integrity fail-open
명령을 사용합니다. Zone Labs 서버 연결 실패 시 VPN 클라이언트에 대한 연결을 닫으려면 이 명
령의 no 형식을 사용합니다.
zonelabs-integrity fail-open
no zonelabs-integrity fail-open
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 원격 VPN 연결은 ASA가 Zone Labs Integrity Firewall Server에 대한 연결을 설정하거
나 유지하지 않는 경우 열린 상태로 유지됩니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
기본 Zone Labs Integrity Firewall Server가 ASA에 응답하지 않는 경우 ASA는 기본적으로 사설 네
트워크에 대한 VPN 클라이언트 연결을 설정합니다. 또한 기존 연결을 열린 상태로 유지합니다. 이
는 방화벽 서버 실패로 인해 엔터프라이즈 VPN이 중단되지 않도록 합니다. 그러나 Zone Labs
Integrity Firewall Server 실패 시 VPN 연결을 작동 상태로 유지하지 않으려면 zonelabs-integrity
fail-close 명령을 사용합니다. 그런 다음 Zone Labs Integrity Firewall Server 연결에 실패한 경우
ASA에서 클라이언트 VPN 연결을 유지하는 기본 조건으로 되돌리려면 zonelabs-integrity
fail-open 명령 또는 no zonelabs-integrity fail-open 명령을 사용합니다.
예
다음 예에서는 Zone Labs Integrity Firewall Server 연결에 실패한 경우 VPN 클라이언트 연결이 열
린 상태로 유지되는 기본 조건으로 복원합니다.
ciscoasa(config)# zonelabs-integrity fail-open
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-37
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity fail-open
관련 명령
명령
zonelabs-integrity fail-close
zonelabs-integrity fail-timeout
설명
ASA와 Zone Labs Integrity Firewall Server 간의 연결에 실패한
경우 ASA에서 VPN 클라이언트 연결을 닫도록 지정합니다.
ASA가 응답하지 않는 Zone Labs Integrity Firewall Server를 연
결할 수 없는 것으로 선언하기 전까지의 경과 시간(초)을 지정
합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-38
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity fail-timeout
zonelabs-integrity fail-timeout
ASA가 응답하지 않는 Zone Labs Integrity Firewall Server를 연결할 수 없는 것으로 선언하기 전까
지의 경과 시간(초)을 지정하려면 전역 컨피그레이션 모드에서 zonelabs-integrity fail-timeout 명
령을 사용합니다. 기본 시간 제한 10초를 복원하려면 인수 없이 이 명령의 no 형식을 사용합니다.
zonelabs-integrity fail-timeout timeout
no zonelabs-integrity fail-timeout
구문 설명
timeout
기본값
기본 시간 제한 값은 10초입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
ASA가 응답하지 않는 Zone Labs Integrity Firewall Server를 연결할 수 없는
것으로 선언하기 전까지의 경과 시간(초)입니다. 허용되는 범위는 5~20초
입니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
ASA가 지정된 시간(초) 동안 Zone Labs 서버의 응답 없이 대기한 경우 이 서버는 응답하지 않는 것
으로 선언됩니다. VPN 클라이언트 연결은 기본적으로 또는 zonelabs-integrity fail-open 명령을 사
용하여 구성된 경우 열린 상태로 유지됩니다. 그러나 zonelabs-integrity fail-close 명령이 실행된 경
우 ASA에서 무결성 서버를 응답하지 않는 것으로 선언하면 연결이 닫힙니다.
예
다음 예에서는 12초 후 활성 Zone Labs Intergity Server를 연결할 수 없는 것으로 선언하도록 ASA
를 구성합니다.
ciscoasa(config)# zonelabs-integrity fail-timeout 12
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-39
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity fail-timeout
관련 명령
명령
zonelabs-integrity fail-open
설명
ASA와 Zone Labs Integrity Firewall Server 간의 연결에 실패
한 후에도 ASA에 대한 VPN 클라이언트 연결이 열린 상태로
유지되도록 지정합니다.
zonelabs-integrity fail-close
ASA와 Zone Labs Integrity Firewall Server 간의 연결에 실패한
경우 ASA에서 VPN 클라이언트 연결을 닫도록 지정합니다.
zonelabs-integrity server-address
ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를
추가합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-40
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity interface
zonelabs-integrity interface
Zone Labs Integrity Server와 통신할 ASA 인터페이스를 지정하려면 전역 컨피그레이션 모드에서
zonelabs-integrity interface 명령을 사용합니다. Zone Labs Integrity Firewall Server 인터페이스를
기본값인 none으로 재설정하려면 이 명령의 no 형식을 사용합니다.
zonelabs-integrity interface interface
no zonelabs-integrity interface
구문 설명
interface
기본값
기본적으로 Zone Labs Integrity Firewall Server 인터페이스는 none으로 설정됩니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
Zone Labs Integrity Firewall Server가 통신하는 ASA 인터페이스를 지정합
니다. 이는 nameif 명령으로 만든 인터페이스 이름인 경우가 많습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
전역 컨피그레이션
명령 기록
예
릴리스
7.2(1)
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
다음 예에서는 IP 주소 범위 10.0.0.5~10.0.0.7을 사용하여 세 개의 Zone Labs Intergity Server를 구성
합니다. 또한 포트 300 및 inside라는 인터페이스에서 서버를 수신 대기하도록 ASA를 구성합니다.
ciscoasa(config)# zonelabs-integrity server-address 10.0.0.5 10.0.0.6 10.0.0.7
ciscoasa(config)# zonelabs-integrity port 300
ciscoasa(config)# zonelabs-integrity interface inside
ciscoasa(config)#
관련 명령
명령
zonelabs-integrity port
설명
Zone Labs Integrity Firewall Server와 통신할 ASA의 포트를
지정합니다.
zonelabs-integrity server-address
ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를
추가합니다.
zonelabs-integrity
ssl-certificate-port
SSL 인증서를 검색할 때 Zone Labs Integrity Firewall Server
에서 연결할 ASA 포트를 지정합니다.
zonelabs-integrity
ssl-client-authentication
ASA에 의한 Zone Labs Integrity Firewall Server SSL 인증서
인증을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-41
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity port
zonelabs-integrity port
Zone Labs Integrity Firewall Server와 통신할 ASA의 포트를 지정하려면 전역 컨피그레이션 모드에
서 zonelabs-integrity port 명령을 사용합니다. Zone Labs Integrity Firewall Server의 기본 포트인
5054로 되돌리려면 이 명령의 no 형식을 사용합니다.
zonelabs-integrity port port_number
no zonelabs-integrity port port_number
구문 설명
port
ASA에서 Zone Labs Integrity Firewall Server 포트를 지정합니다.
port_number
Zone Labs Integrity Firewall Server 포트 번호입니다. 10에서 10000 사이일
수 있습니다.
기본값
기본 Zone Labs Integrity Firewall Server 포트는 5054입니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
사용 지침
•
예
투명
—
단일
•
예
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용자 인터페이스에서는 최대 5개의 무결성 서버 컨피그레이션을 지원하지만 현재 릴리스의
ASA는 한 번에 하나의 무결성 서버를 지원합니다. 활성 서버가 실패한 경우 ASA에서 다른 무결성
서버를 구성한 다음 클라이언트 VPN 세션을 다시 설정합니다.
다음 예에서는 IP 주소 10.0.0.5를 사용하여 Zone Labs Integrity Server를 구성합니다. 또한 기본
5054 포트 대신 포트 300에서 활성 Zone Labs 서버를 수신 대기하도록 ASA를 구성합니다.
ciscoasa(config)# zonelabs-integrity server-address 10.0.0.5
ciscoasa(config)# zonelabs-integrity port 300
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-42
상황
ASA는 각각 zonelabs-integrity port 및 zonelabs-integrity interface 명령으로 구성된 포트 및 인터
페이스에서 Zone Labs Integrity Firewall Server를 수신 대기합니다.
참고
예
라우팅됨
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity port
관련 명령
명령
zonelabs-integrity interface
설명
활성 Zone Labs Integrity Server와 통신하는 ASA 인터페이스
를 지정합니다.
zonelabs-integrity server-address
ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를
추가합니다.
zonelabs-integrity
ssl-certificate-port
SSL 인증서를 검색할 때 Zone Labs Integrity Firewall Server
에서 연결할 ASA 포트를 지정합니다.
zonelabs-integrity
ssl-client-authentication
ASA에 의한 Zone Labs Integrity Firewall Server SSL 인증서
인증을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-43
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity server-address
zonelabs-integrity server-address
ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를 추가하려면 전역 컨피그레이션 모드에
서 zonelabs-integrity server-address 명령을 사용합니다. IP 주소 또는 호스트 이름으로 Zone Labs
서버를 지정합니다.
실행 중인 컨피그레이션에서 Zone Labs Integrity Firewall Server를 제거하려면 인수 없이 이 명령의
no 형식을 사용합니다.
zonelabs-integrity server-address {hostname1 | ip-address1}
no zonelabs-integrity server-address
참고
구문 설명
사용자 인터페이스에서는 여러 무결성 서버 컨피그레이션을 지원하지만 현재 릴리스의 ASA는 한
번에 하나의 무결성 서버만 지원합니다.
hostname
Zone Labs Integrity Firewall Server의 호스트 이름을 지정합니다. 호스트 이
름 지침은 name 명령을 참고하십시오.
ip-address
Zone Labs Integrity Firewall Server의 IP 주소를 지정합니다.
명령 기본값
기본적으로 Zone Labs Integrity Firewall Server는 구성되지 않습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
사용 지침
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
이 릴리스에서는 하나의 Zone Labs Integrity Firewall Server를 구성할 수 있습니다. 이 서버가 실패
한 경우 먼저 다른 무결성 서버를 구성한 다음 클라이언트 VPN 세션을 설정합니다.
호스트 이름으로 서버를 지정하려면 먼저 name 명령을 사용하여 Zone Labs 서버 이름을 구성해야
합니다. name 명령을 사용하기 전에 names 명령을 사용하여 활성화합니다.
참고
사용자 인터페이스에서는 최대 5개의 무결성 서버 컨피그레이션을 지원하지만 현재 릴리스의 보
안 어플라이언스는 한 번에 하나의 무결성 서버를 지원합니다. 활성 서버가 실패한 경우 ASA에서
다른 무결성 서버를 구성한 다음 클라이언트 VPN 세션을 다시 설정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-44
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity server-address
예
다음 예에서는 IP 주소 10.0.0.5에 서버 이름 ZL-Integrity-Svr을 할당하고 해당 이름을 사용하여
Zone Labs Intergity Server를 구성합니다.
ciscoasa(config)# names
ciscoasa(config)# name 10.0.0.5 ZL-Integrity-Svr
ciscoasa(config)# zonelabs-integrity server-address ZL-Integrity-Svr
ciscoasa(config)#
관련 명령
명령
zonelabs-integrity fail-close
설명
ASA와 Zone Labs Integrity Firewall Server 간의 연결에 실패한
경우 ASA에서 VPN 클라이언트 연결을 닫도록 지정합니다.
zonelabs-integrity interface
활성 Zone Labs Integrity Server와 통신하는 ASA 인터페이스를
지정합니다.
zonelabs-integrity port
Zone Labs Integrity Firewall Server와 통신할 ASA의 포트를 지
정합니다.
zonelabs-integrity
ssl-certificate-port
SSL 인증서를 검색할 때 Zone Labs Integrity Firewall Server에
서 연결할 ASA 포트를 지정합니다.
zonelabs-integrity
ssl-client-authentication
ASA에 의한 Zone Labs Integrity Firewall Server SSL 인증서 인
증을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-45
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity ssl-certificate-port
zonelabs-integrity ssl-certificate-port
SSL 인증서를 검색할 때 Zone Labs Integrity Firewall Server에서 연결할 ASA 포트를 지정하려면 전
역 컨피그레이션 모드에서 zonelabs-integrity ssl-certificate-port 명령을 사용합니다. 기본 포트 번
호(80)로 되돌리려면 인수 없이 이 명령의 no 형식을 사용합니다.
zonelabs-integrity ssl-certificate-port cert-port-number
no zonelabs-integrity ssl-certificate-port
구문 설명
cert-port-number
기본값
기본적으로 ASA에서는 Zone Labs Integrity Firewall Server가 포트 80에서 SSL 인증서를 요청해야
합니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
SSL 인증서를 요청할 때 Zone Labs Integrity Firewall Server에서 연결해야
하는 ASA의 포트 번호를 지정합니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
ASA와 Zone Labs Integrity Firewall Server 간의 SSL 통신에서 ASA는 SSL 서버이고 Zone Labs 서
버는 SSL 클라이언트입니다. SSL 연결을 시작할 때 클라이언트(Zone Labs 서버)에서 SSL 서버
(ASA)의 인증서를 인증해야 합니다. zonelabs-integrity ssl-certificate-port 명령은 SSL 서버 인증
서를 요청할 때 Zone Labs 서버에서 연결할 포트를 지정합니다.
예
다음 예에서는 Zone Labs Integrity Server의 SSL 인증서 요청을 받도록 ASA의 포트 30을 구성합
니다.
ciscoasa(config)# zonelabs-integrity ssl-certificate-port 30
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-46
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity ssl-certificate-port
관련 명령
명령
zonelabs-integrity port
설명
Zone Labs Integrity Firewall Server와 통신할 ASA의 포트를
지정합니다.
zonelabs-integrity interface
활성 Zone Labs Integrity Server와 통신하는 ASA 인터페이스
를 지정합니다.
zonelabs-integrity server-address
ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를
추가합니다.
zonelabs-integrity
ssl-client-authentication
ASA에 의한 Zone Labs Integrity Firewall Server SSL 인증서
인증을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-47
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity ssl-client-authentication
zonelabs-integrity ssl-client-authentication
ASA에 의한 Zone Labs Integrity Firewall Server SSL 인증서 인증을 활성화하려면 enable 인수와 함
께 전역 컨피그레이션 모드에서 zonelabs-integrity ssl-client-authentication 명령을 사용합니다.
Zone Labs SSL 인증서 인증을 비활성화하려면 disable 인수를 사용하거나 인수 없이 이 명령의 no
형식을 사용합니다.
zonelabs-integrity ssl-client-authentication {enable | disable}
no zonelabs-integrity ssl-client-authentication
구문 설명
disable
Zone Labs Integrity Firewall Server의 IP 주소를 지정합니다.
enable
ASA가 Zone Labs Integrity Firewall Server의 SSL 인증서를 인증하도록 지
정합니다.
기본값
기본적으로 ASA의 Zone Labs Integrity Firewall Server SSL 인증서 인증은 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
전역 컨피그레이션
명령 기록
릴리스
7.2(1)
라우팅됨
•
예
투명
—
단일
•
예
상황
시스템
—
—
수정 사항
이 명령이 도입되었습니다.
사용 지침
ASA와 Zone Labs Integrity Firewall Server 간의 SSL 통신에서 ASA는 SSL 서버이고 Zone Labs 서
버는 SSL 클라이언트입니다. SSL 연결을 시작할 때 클라이언트(Zone Labs 서버)에서 SSL 서버
(ASA)의 인증서를 인증해야 합니다. 그러나 클라이언트 인증서 인증은 선택 사항입니다.
zonelabs-integrity ssl-client-authentication 명령을 사용하여 ASA의 Zone Labs 서버(SSL 클라이언
트) 인증서 인증을 활성화하거나 비활성화할 수 있습니다.
예
다음 예에서는 Zone Labs Integrity Server의 SSL 인증서를 인증하도록 ASA를 구성합니다.
ciscoasa(config)# zonelabs-integrity ssl-client-authentication enable
ciscoasa(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-48
5장
wccp through zonelabs integrity ssl-client-authentication 명령
zonelabs-integrity ssl-client-authentication
관련 명령
명령
zonelabs-integrity interface
설명
활성 Zone Labs Integrity Server와 통신하는 ASA 인터페이스
를 지정합니다.
zonelabs-integrity port
Zone Labs Integrity Firewall Server와 통신할 ASA의 포트를
지정합니다.
zonelabs-integrity server-address
ASA 컨피그레이션에 Zone Labs Integrity Firewall Server를
추가합니다.
zonelabs-integrity
ssl-certificate-port
SSL 인증서를 검색할 때 Zone Labs Integrity Firewall Server
에서 연결할 ASA 포트를 지정합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-49
5장
zonelabs-integrity ssl-client-authentication
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
5-50
wccp through zonelabs integrity ssl-client-authentication 명령
파트 2
ASA 서비스 모듈에 대한 Cisco IOS 명령
6
장
ASASM에 대한 Cisco IOS 명령
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-1
6장
ASASM에 대한 Cisco IOS 명령
clear diagnostics loopback
clear diagnostics loopback
온라인 진단 테스트 컨피그레이션을 제거하려면 특권 EXEC 모드에서 clear diagnostic loopback
명령을 사용합니다.
clear diagnostics loopback
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
특권 EXEC
명령 기록
릴리스
12.2(18)SXF5
수정 사항
이 명령이 도입되었습니다.
사용 지침
clear diagnostics loopback 명령은 온라인 진단 테스트 컨피그레이션을 지웁니다.
예
다음은 clear diagnostics loopback 명령의 샘플 출력입니다.
ciscoasa# clear diagnostics loopback
Port
0
1
관련 명령
Test
0
0
Pkts-received
0
0
명령
show diagnostics loopback
Failures
0
0
설명
PC 루프백 테스트, 실행한 테스트 횟수, 받은 루프백 패킷 수 및 감
지된 실패 횟수와 관련된 정보를 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-2
6장
ASASM에 대한 Cisco IOS 명령
firewall autostate
firewall autostate
자동 상태 메시징을 활성화하려면 전역 컨피그레이션 모드에서 firewall autostate 명령을 사용합
니다. 자동 상태를 비활성화하려면 이 명령의 no 형식을 사용합니다.
firewall autostate
no firewall autostate
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 자동 상태는 비활성화되어 있습니다.
명령 모드
전역 컨피그레이션
명령 기록
릴리스
12.2(18)SXF5
사용 지침
수정 사항
이 명령이 도입되었습니다.
자동 상태 메시징은 ASA가 스위치 인터페이스의 장애 또는 가동 상태를 신속하게 감지할 수 있도
록 해줍니다. 수퍼바이저 엔진은 ASA VLAN과 연결된 물리적 인터페이스의 상태에 대한 자동 상
태 메시지를 ASA로 보낼 수 있습니다. 예를 들어 VLAN과 연결된 모든 물리적 인터페이스가 중단
된 경우 자동 상태 메시지는 ASA에 VLAN이 중단되었음을 알려 줍니다. 이 정보를 통해 ASA는
VLAN을 중단된 것으로 선언하여 일반적으로 링크 오류가 발생한 쪽을 확인하는 데 필요한 인터
페이스 모니터링 테스트를 무시합니다. 자동 상태 메시징은 ASA가 링크 오류를 감지하는 데 걸리
는 시간을 대폭(최대 45초에서 몇 밀리초로) 단축합니다.
스위치 수퍼바이저는 다음과 같은 경우에 ASA로 자동 상태 메시지를 보냅니다.
예
•
VLAN에 속한 마지막 인터페이스가 중단된 경우
•
VLAN에 속한 첫 번째 인터페이스가 가동된 경우
다음 예에서는 자동 상태 메시징을 활성화합니다.
Router(config)# firewall autostate
관련 명령
명령
show firewall autostate
설명
자동 상태 기능의 설정을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-3
6장
ASASM에 대한 Cisco IOS 명령
firewall module
firewall module
ASA에 방화벽 그룹을 할당하려면 전역 컨피그레이션 모드에서 firewall module 명령을 입력합니
다. 그룹을 제거하려면 이 명령의 no 형식을 사용합니다.
firewall module module_number vlan-group firewall_group
no firewall module module_number vlan-group firewall_group
구문 설명
module_number
모듈 번호를 지정합니다. show module 명령을 사용하여 설치된 모듈과 해
당 번호를 볼 수 있습니다.
vlan-group
firewall_group
firewall vlan-group 명령으로 정의된 대로 하나 이상의 그룹 번호를 지정
합니다.
•
단일 번호(n)
•
범위(n-x)
번호 또는 범위를 쉼표로 구분합니다. 예를 들어 다음 번호를 입력합니다.
5,7-10
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
전역 컨피그레이션
명령 기록
릴리스
12.2(18)SXF5
사용 지침
수정 사항
이 명령이 도입되었습니다.
•
각 ASASM에 최대 16개의 방화벽 VLAN 그룹을 할당할 수 있습니다. Cisco IOS 소프트웨어에
서는 16개가 넘는 VLAN 그룹을 만들 수 있지만 ASASM당 16개만 할당할 수 있습니다. 그룹을
만들려면 firewall vlan-group 명령을 참고하십시오. 예를 들어 모든 VLAN을 하나의 그룹에 할
당하거나, 내부 그룹과 외부 그룹을 만들거나, 각 고객에 대한 그룹을 만들 수 있습니다.
•
그룹당 VLAN 수에는 제한이 없지만 ASASM에서는 ASASM 시스템 제한 이내의 VLAN만 사
용할 수 있습니다(자세한 내용은 ASASM 라이센싱 정보 참고).
•
여러 방화벽 그룹에 동일한 VLAN을 할당할 수 없습니다.
•
여러 ASASM에 단일 방화벽 그룹을 할당할 수 있습니다. 예를 들어 여러 ASASM에 할당하려
는 VLAN이 각 ASASM에 고유한 VLAN과 별도의 그룹에 상주할 수 있습니다.
•
동일한 스위치 섀시 내에서 ASASM 장애 조치를 사용하는 경우 장애 조치 및 상태 저장 통신
용으로 예약된 VLAN을 스위치 포트에 할당하지 마십시오. 그러나 섀시 간에 장애 조치를 사
용하는 경우에는 섀시 간의 트렁크 포트에 VLAN을 포함해야 합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-4
6장
ASASM에 대한 Cisco IOS 명령
firewall module
예
•
VLAN을 ASASM에 할당하기 전에 스위치에 추가하지 않은 경우에는 VLAN이 수퍼바이저 엔
진 데이터베이스에 저장되며, 스위치에 추가되는 즉시 ASASM으로 전송됩니다.
•
스위치에 할당되기 전에 ASASM 컨피그레이션에서 VLAN을 구성할 수 있습니다. 스위치가
ASASM으로 VLAN을 보내면 ASASM 컨피그레이션에서 종료했는지 여부에 상관없이 기본적
으로 ASASM에서 VLAN이 관리자에 의해 가동됩니다. 이 경우 다시 종료해야 합니다.
다음 예에서는 각 ASA에 대한 그룹과 두 ASA에 할당된 VLAN을 포함하는 그룹, 이렇게 3개의 방
화벽 VLAN 그룹을 만드는 방법을 보여 줍니다.
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
firewall
firewall
firewall
firewall
firewall
vlan-group 50 55-57
vlan-group 51 70-85
vlan-group 52 100
module 5 vlan-group 50,52
module 8 vlan-group 51,52
다음은 show firewall vlan-group 명령의 샘플 출력입니다.
Router# show firewall vlan-group
Group vlans
----- -----50 55-57
51 70-85
52/100
다음은 모든 VLAN 그룹을 표시하는 show firewall module 명령의 샘플 출력입니다.
Router# show firewall module
Module Vlan-groups
5
50,52
8
51,52
관련 명령
명령
firewall vlan-group
설명
VLAN 그룹에 VLAN을 할당합니다.
show firewall module
vlan-group
VLAN 그룹 및 해당 그룹에 할당된 VLAN을 표시합니다.
show module
설치된 모든 모듈을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-5
6장
ASASM에 대한 Cisco IOS 명령
firewall multiple-vlan-interfaces
firewall multiple-vlan-interfaces
둘 이상의 SVI를 ASA에 추가하도록 허용하려면 전역 컨피그레이션 모드에서 firewall
multiple-vlan-interfaces 명령을 사용합니다. 이 기능을 비활성화하려면 이 명령의 no 형식을 사용
합니다.
firewall multiple-vlan-interfaces
no firewall multiple-vlan-interfaces
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 여러 SVI는 허용되지 않습니다.
명령 모드
전역 컨피그레이션
명령 기록
릴리스
12.2(18)SXF5
사용 지침
수정 사항
이 명령이 도입되었습니다.
MSFC에 정의된 VLAN을 스위치 가상 인터페이스라고 합니다. SVI에 사용된 VLAN을 ASA에 할
당한 경우 MSFC는 ASA와 다른 계층 3 VLAN 간에 라우팅됩니다. 보안상, 기본적으로 MSFC와
ASA 간에는 하나의 SVI만 존재할 수 있습니다. 예를 들어 여러 SVI로 시스템을 잘못 구성한 경우
내부 및 외부 VLAN을 MSFC에 할당하여 실수로 트래픽이 ASA를 통과하도록 허용할 수 있습니다.
그러나 일부 네트워크 시나리오에서는 ASA를 우회해야 할 수도 있습니다. 예를 들어 동일한 이더
넷 세그먼트의 IPX 호스트를 IP 호스트로 사용하는 경우 여러 SVI가 필요합니다. 라우팅된 방화벽
모드의 ASA는 IP 트래픽만 처리하고 IPX와 같은 다른 프로토콜 트래픽은 삭제하기 때문에(투명
방화벽 모드에서는 선택적으로 비 IP 트래픽을 허용할 수 있음) IPX 트래픽에 대해 ASA를 우회할
수 있습니다. IPX 트래픽만 VLAN에서 전달되도록 허용하는 액세스 목록을 사용하여 MSFC를 구
성해야 합니다.
다중 상황 모드의 투명 방화벽에서는 각 상황에서 해당 외부 인터페이스에 고유한 VLAN이 있어
야 하므로 여러 SVI를 사용해야 합니다. 외부 인터페이스에 대해 단일 VLAN을 공유하지 않아도
되도록 라우팅 모드에서 여러 SVI를 사용하도록 선택할 수도 있습니다.
예
다음 예에서는 여러 SVI를 사용하는 일반적인 컨피그레이션을 보여 줍니다.
Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall module 8 vlan-group 50-51
Router(config)# firewall multiple-vlan-interfaces
Router(config)# interface vlan 55
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# interface vlan 56
Router(config-if)# ip address 10.1.2.1 255.255.255.0
Router(config-if)# no shutdown
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-6
6장
ASASM에 대한 Cisco IOS 명령
firewall multiple-vlan-interfaces
Router(config-if)# end
Router#
다음은 show interface 명령의 샘플 출력입니다.
Router# show interface vlan 55
Vlan55 is up, line protocol is up
Hardware is EtherSVI, address is 0008.20de.45ca (bia 0008.20de.45ca)
Internet address is 55.1.1.1/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type:ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue:0/75/0/0 (size/max/drops/flushes); Total output drops:0
Queueing strategy:fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
L2 Switched:ucast:196 pkt, 13328 bytes - mcast:4 pkt, 256 bytes
L3 in Switched:ucast:0 pkt, 0 bytes - mcast:0 pkt, 0 bytes mcast
L3 out Switched:ucast:0 pkt, 0 bytes
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
4 packets output, 256 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
관련 명령
명령
firewall module
설명
VLAN 그룹을 ASA에 할당합니다.
firewall vlan-group
VLAN 그룹을 정의합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-7
6장
ASASM에 대한 Cisco IOS 명령
firewall vlan-group
firewall vlan-group
방화벽 그룹에 VLAN을 할당하려면 전역 컨피그레이션 모드에서 firewall vlan-group 명령을 입력
합니다. VLAN을 제거하려면 이 명령의 no 형식을 사용합니다.
firewall [switch {1 |2}] vlan-group firewall_group vlan_range
no firewall [switch {1 |2}] vlan-group firewall_group vlan_range
구문 설명
firewall_group
그룹 ID를 정수로 지정합니다.
vlan_range
그룹에 할당된 VLAN을 지정합니다. vlan_range 값은 다음 방법 중 하나로
식별되는 하나 이상의 VLAN(2~1000 및 1025~4094)일 수 있습니다.
•
단일 번호(n)
•
범위(n-x)
번호 또는 범위를 쉼표로 구분합니다. 예를 들어 다음 번호를 입력합니다.
5,7-10,13,45-100
참고
라우팅된 포트와 WAN 포트는 내부 VLAN을 사용하므로
1020~1100 범위의 VLAN이 이미 사용 중일 수 있습니다.
(선택 사항) VSS 컨피그레이션에 대해 스위치 번호를 지정합니다.
switch {1 | 2}
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
전역 컨피그레이션
명령 기록
릴리스
12.2(18)SXF5
사용 지침
수정 사항
이 명령이 도입되었습니다.
•
firewall module 명령을 사용하여 각 ASASM에 최대 16개의 방화벽 VLAN 그룹을 할당할 수
있습니다. Cisco IOS 소프트웨어에서는 16개가 넘는 VLAN 그룹을 만들 수 있지만 ASASM당
16개만 할당할 수 있습니다. 예를 들어 모든 VLAN을 하나의 그룹에 할당하거나, 내부 그룹과
외부 그룹을 만들거나, 각 고객에 대한 그룹을 만들 수 있습니다.
•
그룹당 VLAN 수에는 제한이 없지만 ASASM에서는 ASASM 시스템 제한 이내의 VLAN만 사
용할 수 있습니다(자세한 내용은 ASASM 라이센싱 정보 참고).
•
여러 방화벽 그룹에 동일한 VLAN을 할당할 수 없습니다.
•
여러 ASASM에 단일 방화벽 그룹을 할당할 수 있습니다. 예를 들어 여러 ASASM에 할당하려
는 VLAN이 각 ASASM에 고유한 VLAN과 별도의 그룹에 상주할 수 있습니다.
•
2~1000 및 1025~4094의 VLAN ID를 사용합니다.
•
라우팅된 포트와 WAN 포트는 내부 VLAN을 사용하므로 1020~1100 범위의 VLAN이 이미 사
용 중일 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-8
6장
ASASM에 대한 Cisco IOS 명령
firewall vlan-group
예
•
예약된 VLAN은 사용할 수 없습니다.
•
VLAN 1은 사용할 수 없습니다.
•
동일한 스위치 섀시 내에서 ASASM 장애 조치를 사용하는 경우 장애 조치 및 상태 저장 통신
용으로 예약된 VLAN을 스위치 포트에 할당하지 마십시오. 그러나 섀시 간에 장애 조치를 사
용하는 경우에는 섀시 간의 트렁크 포트에 VLAN을 포함해야 합니다.
•
VLAN을 ASASM에 할당하기 전에 스위치에 추가하지 않은 경우에는 VLAN이 수퍼바이저 엔
진 데이터베이스에 저장되며, 스위치에 추가되는 즉시 ASASM으로 전송됩니다.
•
스위치에 할당되기 전에 ASASM 컨피그레이션에서 VLAN을 구성할 수 있습니다. 스위치가
ASASM으로 VLAN을 보내면 ASASM 컨피그레이션에서 종료했는지 여부에 상관없이 기본적
으로 ASASM에서 VLAN이 관리자에 의해 가동됩니다. 이 경우 다시 종료해야 합니다.
다음 예에서는 각 ASA에 대한 그룹과 두 ASA에 할당된 VLAN을 포함하는 그룹, 이렇게 3개의 방
화벽 VLAN 그룹을 만드는 방법을 보여 줍니다.
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
firewall
firewall
firewall
firewall
firewall
vlan-group 50 55-57
vlan-group 51 70-85
vlan-group 52 100
module 5 vlan-group 50,52
module 8 vlan-group 51,52
다음은 show firewall vlan-group 명령의 샘플 출력입니다.
Router# show firewall vlan-group
Group vlans
----- -----50 55-57
51 70-85
52/100
다음은 모든 VLAN 그룹을 표시하는 show firewall module 명령의 샘플 출력입니다.
Router# show firewall module
Module Vlan-groups
5
50,52
8
51,52
관련 명령
명령
firewall module
설명
VLAN 그룹을 ASA에 할당합니다.
show firewall vlan-group
VLAN 그룹 및 해당 그룹에 할당된 VLAN을 표시합니다.
show module
설치된 모든 모듈을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-9
6장
ASASM에 대한 Cisco IOS 명령
service-module session
service-module session
스위치 CLI에서 ASASM에 대한 콘솔 액세스 권한을 얻으려면 특권 EXEC 모드에서
service-module session 명령을 입력합니다.
service-module session [switch {1 | 2}] slot number
구문 설명
slot number
switch {1 | 2}
ASASM의 슬롯 번호를 지정합니다. 모듈 슬롯 번호를 보려면 스위
치 프롬프트에서 show module 명령을 입력합니다.
(선택 사항) VSS 컨피그레이션에 대해 스위치 번호를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
특권 EXEC
명령 기록
릴리스
12.2(33)SXJ1
사용 지침
service-module session 명령을 사용하면 실제 콘솔 연결의 이점 및 제한이 그대로 적용하여
ASASM에 대한 가상 콘솔 연결을 만들 수 있습니다.
수정 사항
이 명령이 도입되었습니다.
이점은 다음과 같습니다.
•
연결이 다시 로드 간에 유지되며 시간 초과되지 않습니다.
•
ASASM 다시 로드를 통해 연결된 상태를 유지하고 시작 메시지를 볼 수 있습니다.
•
ASASM에서 이미지를 로드할 수 없는 경우 ROMMON에 액세스할 수 있습니다.
제한 사항은 다음과 같습니다.
참고
예
•
연결이 느립니다(9600보드).
•
한 번에 하나의 콘솔 연결만 활성 상태로 유지할 수 있습니다.
연결의 지속성 때문에 ASASM에서 올바르게 로그아웃하지 않은 경우 연결이 의도한 것보다 오래
존재할 수 있습니다. 다른 사람이 로그인하려는 경우 기존 연결을 중단해야 합니다. 자세한 내용은
CLI 컨피그레이션 가이드를 참고하십시오.
다음 예에서는 슬롯 3에서 ASASM에 대한 콘솔 액세스 권한을 얻는 방법을 보여 줍니다.
Router# service-module session slot 3
ciscoasa>
관련 명령
명령
session
설명
백플레인을 통해 ASASM으로 텔넷합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-10
6장
ASASM에 대한 Cisco IOS 명령
session
session
백플레인을 통해 스위치 CLI에서 ASASM으로 텔넷하려면 특권 EXEC 모드에서 session 명령을 사
용합니다.
session [switch {1 | 2}] slot number processor 1
구문 설명
processor 1
프로세서 번호를 지정합니다(항상 1).
slot number
슬롯 번호를 지정합니다. 모듈 슬롯 번호를 보려면 스위치 프롬프트에서
show module 명령을 입력합니다.
switch {1 | 2}
(선택 사항) VSS 컨피그레이션에 대해 스위치 번호를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
특권 EXEC
명령 기록
릴리스
12.2(14)SX
사용 지침
수정 사항
수퍼바이저 엔진 720에서 이 명령에 대한 지원이 도입되었습니다.
12.2(17d)SXB
수퍼바이저 엔진 2에서 이 명령에 대한 지원이 릴리스 12.2(17d)SXB로
확장되었습니다.
12.2(33)SRA
이 명령이 Cisco IOS 릴리스 12.2(33)SRA에 통합되었습니다.
session 명령을 사용하면 ASASM에 대한 텔넷 연결을 만들 수 있습니다.
이점은 다음과 같습니다.
•
ASASM에 대한 세션을 동시에 유지할 수 있습니다.
•
텔넷세션은 빠른 연결입니다.
제한 사항은 다음과 같습니다.
참고
•
ASASM을 다시 로드하면 텔넷 세션이 종료되고 시간 초과될 수 있습니다.
•
완전히 로드할 때까지 ASASM에 액세스할 수 없습니다. ROMMON에 액세스할 수 없습니다.
다른 서비스 모듈에서 지원되는 session slot processor 0 명령은 ASASM에서 지원되지 않습니다.
ASASM에는 프로세서 0이 없습니다.
로그인 비밀번호를 묻는 프롬프트가 표시됩니다. ASASM에 대한 로그인 비밀번호를 입력합니다.
기본적으로 비밀번호는 cisco입니다.
사용자 EXEC 모드에 액세스할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-11
6장
ASASM에 대한 Cisco IOS 명령
session
예
다음 예에서는 프로세서 1에서 ASASM으로 텔넷합니다.
Router# session slot number processor 1
ciscoasa passwd: cisco
ciscoasa>
관련 명령
명령
service-module session
설명
스위치 CLI에서 ASASM에 대한 콘솔 액세스 권한을 가져옵니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-12
6장
ASASM에 대한 Cisco IOS 명령
show diagnostic loopback
show diagnostic loopback
실행한 테스트 횟수, 받은 루프백 패킷 수, 감지된 실패 횟수 등 PC 루프백 테스트와 관련된 정보를
표시하려면 특권 EXEC 모드에서 show diagnostics loopback 명령을 사용합니다.
show diagnostics loopback
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
•
릴리스
12.2(18)SXF5
투명
단일
•
•
상황
—
시스템
•
수정 사항
이 명령이 도입되었습니다.
사용 지침
show diagnostics loopback 명령은 실행한 테스트 횟수, 받은 루프백 패킷 수, 감지된 실패 횟수 등
PC 루프백 테스트와 관련된 정보를 제공합니다.
예
다음은 show diagnostics loopback 명령의 샘플 출력입니다.
ciscoasa# show diagnostics loopback
Port
0
1
관련 명령
Test
447
447
Pkts-received
447
447
Failures
0
0
명령
clear diagnostics loopback
설명
온라인 진단 테스트 컨피그레이션을 지웁니다.
firewall autostate
자동 상태 기능을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-13
6장
ASASM에 대한 Cisco IOS 명령
show firewall autostate
show firewall autostate
자동 상태 기능의 설정을 보려면 특권 EXEC 모드에서 show firewall autostate 명령을 사용합니다.
show firewall autostate
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본적으로 자동 상태는 비활성화되어 있습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
사용 지침
관련 명령
릴리스
12.2(18)SXF5
•
•
단일
•
상황
•
시스템
•
수정 사항
이 명령이 도입되었습니다.
Cisco IOS 소프트웨어의 자동 상태 메시징은 ASA가 스위치 인터페이스의 장애 또는 가동 상태를
신속하게 감지할 수 있도록 해줍니다. 스위치 수퍼바이저는 다음과 같은 경우에 ASA로 자동 상태
메시지를 보냅니다.
•
VLAN에 속한 마지막 인터페이스가 중단된 경우
•
VLAN에 속한 첫 번째 인터페이스가 가동된 경우
명령
clear diagnostics loopback
설명
온라인 진단 테스트 컨피그레이션을 지웁니다.
firewall autostate
자동 상태 기능을 활성화합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-14
투명
6장
ASASM에 대한 Cisco IOS 명령
show firewall module
show firewall module
각 ASA에 할당된 VLAN 그룹을 보려면 특권 EXEC 모드에서 show firewall module 명령을 입력합
니다.
show firewall [switch {1 | 2}] module [module_number]
구문 설명
module_number
(선택 사항) 모듈 번호를 지정합니다. show module 명령을 사용하여 설치
된 모듈과 해당 번호를 볼 수 있습니다.
switch {1 | 2}
(선택 사항) VSS 컨피그레이션에 대해 스위치 번호를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
예
릴리스
12.2(18)SXF5
•
투명
•
단일
•
상황
•
시스템
•
수정 사항
이 명령이 도입되었습니다.
다음은 모든 VLAN 그룹을 표시하는 show firewall module 명령의 샘플 출력입니다.
Router# show firewall module
Module Vlan-groups
5
50,52
8
51,52
관련 명령
명령
firewall module
설명
VLAN 그룹을 ASA에 할당합니다.
firewall vlan-group
VLAN 그룹에 VLAN을 할당합니다.
show firewall module
vlan-group
VLAN 그룹 및 해당 그룹에 할당된 VLAN을 표시합니다.
show module
설치된 모든 모듈을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-15
6장
ASASM에 대한 Cisco IOS 명령
show firewall module state
show firewall module state
각 ASA의 상태를 보려면 특권 EXEC 모드에서 show firewall module state 명령을 입력합니다.
show firewall [switch {1 | 2}] module [module_number] state
구문 설명
module_number
(선택 사항) 모듈 번호를 지정합니다.
switch {1 | 2}
(선택 사항) VSS 컨피그레이션에 대해 스위치 번호를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
예
릴리스
12.2(18)SXF5
•
투명
단일
•
•
상황
•
수정 사항
이 명령이 도입되었습니다.
다음은 show firewall module state 명령의 샘플 출력입니다.
Router# show firewall module 11 state
Firewall module 11:
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: 3,6,7,20-24,40,59,85,87-89,99-115,150,188-191,200,250,
501-505,913,972
Pruning VLANs Enabled: 2-1001
Vlans allowed on trunk:
Vlans allowed and active in management domain:
Vlans in spanning tree forwarding state and not pruned:
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-16
시스템
•
6장
ASASM에 대한 Cisco IOS 명령
show firewall module state
관련 명령
명령
firewall module
설명
VLAN 그룹을 ASA에 할당합니다.
firewall vlan-group
VLAN 그룹에 VLAN을 할당합니다.
show firewall module
vlan-group
VLAN 그룹 및 해당 그룹에 할당된 VLAN을 표시합니다.
show module
설치된 모든 모듈을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-17
6장
ASASM에 대한 Cisco IOS 명령
show firewall module traffic
show firewall module traffic
각 ASA를 통한 트래픽 흐름을 보려면 특권 EXEC 모드에서 show firewall module traffic 명령을 입
력합니다.
show firewall [switch {1 | 2}] module [module_number] traffic
구문 설명
module_number
(선택 사항) 모듈 번호를 지정합니다.
switch {1 | 2}
(선택 사항) VSS 컨피그레이션에 대해 스위치 번호를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
예
릴리스
12.2(18)SXF5
•
투명
•
단일
•
상황
•
수정 사항
이 명령이 도입되었습니다.
다음은 show firewall module traffic 명령의 샘플 출력입니다.
Router# show firewall module 11 traffic
Firewall module 11:
Specified interface is up line protocol is up (connected)
Hardware is EtherChannel, address is 0014.1cd5.bef6 (bia 0014.1cd5.bef6)
MTU 1500 bytes, BW 6000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Full-duplex, 1000Mb/s, media type is unknown
input flow-control is on, output flow-control is on
Members in this channel: Gi11/1 Gi11/2 Gi11/3 Gi11/4 Gi11/5 Gi11/6
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 10000 bits/sec, 17 packets/sec
8709 packets input, 845553 bytes, 0 no buffer
Received 745 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
18652077 packets output, 1480488712 bytes, 0 underruns
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-18
시스템
•
6장
ASASM에 대한 Cisco IOS 명령
show firewall module traffic
0
0
0
0
관련 명령
output errors, 0 collisions, 1 interface resets
babbles, 0 late collision, 0 deferred
lost carrier, 0 no carrier
output buffer failures, 0 output buffers swapped out
명령
firewall module
설명
VLAN 그룹을 ASA에 할당합니다.
firewall vlan-group
VLAN 그룹에 VLAN을 할당합니다.
show firewall module
vlan-group
VLAN 그룹 및 해당 그룹에 할당된 VLAN을 표시합니다.
show module
설치된 모든 모듈을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-19
6장
ASASM에 대한 Cisco IOS 명령
show firewall module vlan-group
show firewall module vlan-group
ASA에 할당할 수 있는 VLAN 그룹을 보려면 특권 EXEC 모드에서 show firewall module
vlan-group 명령을 입력합니다.
show firewall [switch {1 | 2}] module [module_number] vlan-group [firewall_group]
구문 설명
firewall_group
(선택 사항) 그룹 ID를 지정합니다.
module_number
(선택 사항) 모듈 번호를 지정합니다.
switch {1 | 2}
(선택 사항) VSS 컨피그레이션에 대해 스위치 번호를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
예
릴리스
12.2(18)SXF5
•
투명
•
이 명령이 도입되었습니다.
다음은 show firewall module vlan-group 명령의 샘플 출력입니다.
명령
firewall module
설명
VLAN 그룹을 ASA에 할당합니다.
firewall vlan-group
VLAN 그룹을 생성합니다.
show module
설치된 모든 모듈을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-20
•
수정 사항
Router# show firewall module vlan-group
Group vlans
----- -----50 55-57
51 70-85
52/100
관련 명령
단일
상황
•
시스템
•
6장
ASASM에 대한 Cisco IOS 명령
show firewall multiple-vlan-interfaces
show firewall multiple-vlan-interfaces
ASASM에 대한 여러 방화벽 VLAN 인터페이스의 상태를 보려면 특권 EXEC 모드에서 show
firewall multiple-vlan-interfaces 명령을 입력합니다.
show firewall multiple-vlan-interfaces
구문 설명
이 명령에는 인수 또는 키워드가 없습니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
라우팅됨
특권 EXEC
명령 기록
예
릴리스
8.5(1)
•
투명
•
단일
•
상황
•
시스템
•
수정 사항
이 명령이 도입되었습니다.
다음은 show firewall multiple-vlan-interfaces 명령의 샘플 출력입니다.
Router# show firewall multiple-vlan-interfaces
Multiple firewall vlan interfaces feature is enabled
관련 명령
명령
firewall module
설명
VLAN 그룹을 ASA에 할당합니다.
firewall vlan-group
VLAN 그룹을 생성합니다.
show module
설치된 모든 모듈을 표시합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-21
6장
ASASM에 대한 Cisco IOS 명령
show module
show module
스위치에서 ASASM을 인식하고 온라인 상태로 전환했는지 확인하려면 특권 EXEC 모드에서 show
module 명령을 사용합니다.
show module [switch {1 | 2}] [mod-num | all]
구문 설명
all
(선택 사항) 모든 모듈을 지정합니다.
mod_num
(선택 사항) 모듈 번호를 지정합니다.
switch {1 | 2}
(선택 사항) VSS 컨피그레이션에 대해 스위치 번호를 지정합니다.
기본값
기본 동작 또는 기본값이 없습니다.
명령 모드
다음 표에는 명령을 입력할 수 있는 모드가 나와 있습니다.
방화벽 모드
보안 상황
다중
명령 모드
특권 EXEC
예
라우팅됨
투명
•
•
단일
•
상황
시스템
•
다음은 show module 명령의 샘플 출력입니다.
Router# show module
Mod Ports Card Type
Model
Serial No.
--- ----- -------------------------------------- ------------------ ----------2
3 ASA Service Module
WS-SVC-ASA-SM1
SAD143502E8
4
3 ASA Service Module
WS-SVC-ASA-SM1
SAD135101Z9
5
5 Supervisor Engine 720 10GE (Active)
VS-S720-10G
SAL12426KB1
6
16 CEF720 16 port 10GE
WS-X6716-10GE
SAL1442WZD1
Mod
--2
4
5
6
MAC addresses
---------------------------------0022.bdd4.016f to 0022.bdd4.017e
0022.bdd3.f64e to 0022.bdd3.f655
0019.e8bb.7b0c to 0019.e8bb.7b13
f866.f220.5760 to f866.f220.576f
Hw
Fw
Sw
Status
------ ------------ ------------ ------0.201 12.2(2010080 12.2(2010121 Ok
0.109 12.2(2010080 12.2(2010121 PwrDown
2.0
8.5(2)
12.2(2010121 Ok
1.0
12.2(18r)S1 12.2(2010121 Ok
Mod Sub-Module
Model
Serial
---- --------------------------- ------------------ ----------2/0 ASA Application Processor
SVC-APP-PROC-1
SAD1436015D
4/0 ASA Application Processor
SVC-APP-INT-1
SAD141002AK
5 Policy Feature Card 3
VS-F6K-PFC3C
SAL12437BM2
5 MSFC3 Daughterboard
VS-F6K-MSFC3
SAL12426DE3
6 Distributed Forwarding Card WS-F6700-DFC3C
SAL1443XRDC
Base PID:
Mod Model
---- ----------2 WS-SVC-APP-HW-1
Serial No.
---------SAD143502E8
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-22
Hw
Status
------- ------0.202 Other
0.106 PwrDown
1.0
Ok
1.0
Ok
1.4
Ok
•
6장
ASASM에 대한 Cisco IOS 명령
show module
4 TRIFECTA
SAD135101Z9
Mod Online Diag Status
---- ------------------2 Pass
2/0 Not Applicable
4 Not Applicable
4/0 Not Applicable
5 Pass
6 Pass
관련 명령
명령
firewall module
설명
VLAN 그룹을 ASA에 할당합니다.
firewall vlan-group
VLAN 그룹을 생성합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-23
6장
show module
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
6-24
ASASM에 대한 Cisco IOS 명령
파트 3
참조
7
장
커맨드 라인 인터페이스(CLI) 사용
이 장에서는 ASA에서 CLI를 사용하는 방법을 설명하며, 다음 섹션으로 구성되어 있습니다.
참고
•
7-1페이지의 방화벽 모드 및 보안 상황 모드
•
7-2페이지의 명령 모드 및 프롬프트
•
7-3페이지의 구문 형식 지정
•
7-3페이지의 명령 축약
•
7-3페이지의 커맨드 라인 수정
•
7-4페이지의 명령 완성
•
7-4페이지의 명령 도움말
•
7-4페이지의 실행 중인 컨피그레이션 보기
•
7-5페이지의 show 및 more 명령 출력 필터링
•
7-5페이지의 명령 출력 페이징
•
7-6페이지의 주석 추가
•
7-6페이지의 텍스트 컨피그레이션 파일
•
7-8페이지의 지원되는 문자 집합
CLI는 Cisco IOS CLI와 유사한 구문 및 규칙을 사용하지만 ASA 운영 체제는 Cisco IOS 소프트웨
어 버전이 아닙니다. Cisco IOS CLI 명령이 ASA와 함께 작동하거나 동일한 기능을 갖추었다고 가
정하지 마십시오.
방화벽 모드 및 보안 상황 모드
ASA는 다음 모드의 조합에서 실행됩니다.
•
투명 방화벽 또는 라우팅된 방화벽 모드
방화벽 모드는 ASA가 계층 2 방화벽으로 실행되는지 또는 계층 3 방화벽으로 실행되는지를 결
정합니다.
•
다중 상황 또는 단일 상황 모드
보안 상황 모드는 ASA가 단일 장치로 실행되는지 또는 가상 장치와 같은 역할을 하는 다중 보
안 상황으로 실행되는지를 결정합니다.
일부 명령은 특정 모드에서만 사용할 수 있습니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
7-1
7장
커맨드 라인 인터페이스(CLI) 사용
명령 모드 및 프롬프트
명령 모드 및 프롬프트
ASA CLI에는 명령 모드가 포함되어 있습니다. 일부 명령은 특정 모드에서만 입력할 수 있습니다.
예를 들어 민감 정보를 표시하는 명령을 입력하려면 비밀번호를 입력하고 특권 모드로 전환해야 합
니다. 그런 다음 컨피그레이션 변경을 실수로 입력하는 일이 없도록 우선 컨피그레이션 모드로 전
환해야 합니다. 상위 모드에서는 모든 하위 명령을 입력할 수 있습니다. 예를 들어 전역 컨피그레이
션 모드에서 특권 EXEC 명령을 입력할 수 있습니다.
참고
여러 유형의 프롬프트는 모두 기본 프롬프트이며, 구성된 경우에는 다를 수 있습니다.
•
시스템 컨피그레이션 또는 단일 상황 모드에서는 프롬프트가 호스트 이름으로 시작합니다.
ciscoasa
•
프롬프트 문자열을 인쇄할 때는 프롬프트 컨피그레이션이 구문 분석되고 컨피그레이션 키워
드 값이 prompt 명령을 설정한 순서대로 인쇄됩니다. 키워드 인수는 hostname, domain, context,
priority, state 중 하나일 수 있습니다 (열거 순서와 무관).
asa(config)# prompt hostname context priority state
•
상황 내에서는 프롬프트가 뒤에 상황 이름이 있는 호스트 이름으로 시작합니다.
ciscoasa/context
프롬프트는 액세스 모드에 따라 변경됩니다.
사용자 EXEC 모드
•
사용자 EXEC 모드에서는 최소 ASA 설정을 볼 수 있습니다. 먼저 ASA에 액세스한 경우 사용
자 EXEC 모드 프롬프트는 다음과 같이 표시됩니다.
ciscoasa>
ciscoasa/context>
•
특권 EXEC 모드
특권 EXEC 모드에서는 특권 수준까지의 모든 현재 설정을 볼 수 있습니다. 모든 사용자 EXEC
명령이 특권 EXEC 모드에서 작동합니다. 사용자 EXEC 모드에서 enable 명령을 입력하면(비
밀번호가 필요함) 특권 EXEC 모드가 시작됩니다. 프롬프트에는 번호 기호(#)가 포함되어 있
습니다.
ciscoasa#
ciscoasa/context#
•
전역 컨피그레이션 모드
전역 컨피그레이션 모드에서 ASA 컨피그레이션을 변경할 수 있습니다. 모든 사용자 EXEC, 특
권 EXEC 및 전역 컨피그레이션 명령을 이 모드에서 사용할 수 있습니다. 특권 EXEC 모드에서
configure terminal 명령을 입력하면 전역 컨피그레이션 모드가 시작됩니다. 프롬프트가 다음
으로 변경됩니다.
ciscoasa(config)#
ciscoasa/context(config)#
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
7-2
7장
커맨드 라인 인터페이스(CLI) 사용
구문 형식 지정
•
명령별 컨피그레이션 모드
전역 컨피그레이션 모드에서 일부 명령은 명령별 컨피그레이션 모드를 시작합니다. 모든 사용
자 EXEC, 특권 EXEC, 전역 컨피그레이션 및 명령별 컨피그레이션 명령을 이 모드에서 사용할
수 있습니다. 예를 들어 interface 명령은 인터페이스 컨피그레이션 모드를 시작합니다. 프롬프
트가 다음으로 변경됩니다.
ciscoasa(config-if)#
ciscoasa/context(config-if)#
구문 형식 지정
명령 구문 설명에서는 표 7-1에 나열된 규칙을 사용합니다.
표 7-1
구문 규칙
규칙
설명
굵게
굵은 텍스트는 표시된 대로 입력할 명령 및 키워드를 나타냅니다.
기울임꼴
기울임꼴 텍스트는 값을 제공할 인수를 나타냅니다.
[x]
선택적 요소(키워드 또는 인수)를 대괄호로 묶습니다.
|
세로 막대는 선택적 또는 필수 키워드 또는 인수 집합 내에서 선택할 수 있음을 나
타냅니다.
[x | y]
대괄호 안의 세로 막대로 구분된 키워드 또는 인수는 선택 사항을 나타냅니다.
{x | y}
중괄호 안의 세로 막대로 구분된 키워드 또는 인수는 필수 사항을 나타냅니다.
[x {y | z}]
중첩된 대괄호 또는 중괄호 집합은 선택 요소 또는 필수 요소 내의 선택 사항 또는
필수 사항을 나타냅니다. 대괄호 안의 중괄호 및 세로 막대는 선택 요소 내의 필수
사항을 나타냅니다.
명령 축약
대부분의 명령을 최소한의 고유한 명령 문자로 축약할 수 있습니다. 예를 들어 전체 명령 write
입력하는 대신 wr t를 입력하여 컨피그레이션을 보거나, en을 입력하여 특권 모드를 시
작하고 conf t를 입력하여 컨피그레이션 모드를 시작할 수 있습니다. 또한 0을 입력하여 0.0.0.0을
나타낼 수 있습니다.
terminal을
커맨드 라인 수정
ASA에서는 Cisco IOS 소프트웨어와 동일한 커맨드 라인 수정 규칙을 사용합니다. show history 명
령을 사용하여 이전에 입력한 모든 명령을 보거나 위쪽 화살표 또는 ^p 명령을 사용하여 개별적으
로 볼 수 있습니다. 이전에 입력한 명령을 검토한 후에는 아래쪽 화살표 ^n 명령을 사용하여 목록
에서 앞으로 이동할 수 있습니다. 재사용할 명령에 도달하면 해당 명령을 수정하거나 Enter 키를
눌러 명령을 시작할 수 있습니다. 또한 ^w를 사용하여 커서 왼쪽에 있는 단어를 삭제하거나 ^u를
사용하여 줄을 지울 수 있습니다.
ASA에서는 명령에 최대 512자를 입력할 수 있으며, 추가 문자는 무시됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
7-3
7장
커맨드 라인 인터페이스(CLI) 사용
명령 완성
명령 완성
부분 문자열을 입력한 후 명령 또는 키워드를 완성하려면 Tab 키를 누릅니다. ASA에서는 부분 문
자열이 하나의 명령 또는 키워드와 일치하는 경우에만 명령 또는 키워드를 완성합니다. 예를 들어
s를 입력하고 Tab 키를 누른 경우 이는 둘 이상의 명령과 일치하므로 ASA에서 명령을 완성하지 않
습니다. 그러나 dis를 입력하고 Tab 키를 누르면 disable 명령이 완성됩니다.
명령 도움말
다음 컨피그레이션요소를 입력하여 커맨드 라인에서 도움말 정보를 사용할 수 있습니다.
•
help command_name
특정 명령에 대한 도움말을 표시합니다.
•
command_name ?
사용 가능한 인수 목록을 표시합니다.
•
string? (공백 없음)
이 문자열로 시작할 수 있는 명령을 나열합니다.
•
? 및 +?
사용 가능한 모든 명령을 나열합니다. ?를 입력한 경우 ASA에서는 현재 모드에 사용 가능한
명령만 표시합니다. 하위 모드의 명령을 포함하여 사용 가능한 모든 명령을 표시하려면 +?를
입력합니다.
참고
명령 문자열에 물음표(?)를 포함하려면 실수로 CLI 도움말을 호출하지 않도록 물음표를 입력하기
전에 Ctrl-V를 눌러야 합니다.
실행 중인 컨피그레이션 보기
실행 중인 컨피그레이션을 보려면 다음 명령 중 하나를 사용합니다.
명령 출력을 필터링하려면 7-5페이지의“show 및 more 명령 출력 필터링” 섹션을 참고하십시오.
명령
목적
show running-config [all] [command]
실행 중인 컨피그레이션을 표시합니다. all을 지정하면 모든 기본 설정
도 표시됩니다. command를 지정하면 출력에 관련 명령만 포함됩니다.
참고
more system:running-config
상당수의 비밀번호는 *****로 표시됩니다. 비밀번호를 일반 텍
스트 또는 암호화된 형식(마스터 암호가 활성화된 경우)으로 표
시하려면 아래의 more 명령을 사용합니다.
실행 중인 컨피그레이션을 표시합니다. 비밀번호는 일반 텍스트 또는
암호화된 형식(마스터 암호가 활성화된 경우)으로 표시됩니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
7-4
7장
커맨드 라인 인터페이스(CLI) 사용
show 및 more 명령 출력 필터링
show 및 more 명령 출력 필터링
show 명령에서 세로 막대(|)를 사용하여 필터 옵션 및 필터링 식을 포함할 수 있습니다. Cisco IOS
소프트웨어와 마찬가지로 각 출력 줄을 정규식과 일치시켜 필터링이 수행됩니다. 다른 필터 옵션
을 선택하여 식과 일치하는 모든 출력을 포함하거나 제외할 수 있습니다. 또한 식과 일치하는 줄로
시작하는 모든 출력을 표시할 수 있습니다.
show 명령에서 필터링 옵션을 사용하는 구문은 다음과 같습니다.
ciscoasa# show command | {include | exclude | begin | grep [-v]} regexp
또는
ciscoasa# more system:running-config | {include | exclude | begin | grep [-v]} regexp
참고
more 명령은 실행 중인 컨피그레이션뿐 아니라 모든 파일의 내용을 표시할 수 있습니다. 자세한 내
용은 명령 참조 설명서를 참고하십시오.
이 명령 문자열에서 첫 번째 세로 막대(|)는 연산자이며 명령에 꼭 포함되어야 합니다. 이 연산자는
show 명령의 출력을 필터링하도록 지시합니다. 구문 다이어그램에서 다른 세로 막대 (|)는 대체 옵
션을 나타내며, 명령의 일부가 아닙니다.
include 옵션은 정규식과 일치하는 모든 출력 줄을 포함합니다. -v가 포함되지 않은 grep 옵션도 동
일한 효과를 가집니다. exclude 옵션은 정규식과 일치하는 모든 출력 줄을 제외합니다. -v가 포함
된 grep 옵션도 동일한 효과를 가집니다. begin 옵션은 정규식과 일치하는 줄로 시작하는 모든 출
력 줄을 표시합니다.
regexp를 원하는 Cisco IOS 정규식으로 대체합니다. 정규식은 따옴표 또는 큰따옴표로 묶이지 않으
므로 후행 공백에 주의해야 합니다. 후행 공백은 정규식의 일부로 간주됩니다.
정규식을 만들 때 일치시킬 문자나 숫자를 사용할 수 있습니다. 또한 metacharacters라는 특정 키워
드 문자는 정규식에서 사용될 때 특별한 의미를 가집니다.
Ctrl+V를 사용하여 물음표(?) 또는 탭과 같은 모든 특수 문자를 CLI에서 이스케이프할 수 있습니
다. 예를 들어 d[Ctrl+V]?g를 입력하여 컨피그레이션에서 d?g를 입력할 수 있습니다.
명령 출력 페이징
help 또는 ?, show, show xlate 또는 그 밖에 긴 목록을 제공하는 명령의 경우 정보가 화면에 표시되
고 일시 중지되는지 또는 명령을 완성하도록 해주는지 확인할 수 있습니다. pager 명령은 More 프
롬프트가 나타나기 전에 표시할 줄 수를 선택할 수 있습니다.
페이징이 활성화된 경우 다음 프롬프트가 나타납니다.
<--- More --->
More 프롬프트는 UNIX more 명령과 유사한 구문을 사용합니다.
•
다른 화면을 보려면 스페이스바를 누릅니다.
•
다음 줄을 보려면 Enter 키를 누릅니다.
•
커맨드 라인으로 돌아가려면 q 키를 누릅니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
7-5
7장
커맨드 라인 인터페이스(CLI) 사용
주석 추가
주석 추가
콜론( : )을 줄 앞에 입력하여 주석을 만들 수 있습니다. 그러나 주석은 명령 기록 버퍼에만 표시되
고 컨피그레이션에는 표시되지 않습니다. 따라서 show history 명령을 사용하거나, 화살표 키를 눌
러 이전 명령을 검색하여 주석을 볼 수는 있지만, 주석은 컨피그레이션에 없으므로 write terminal
명령은 주석을 표시하지 않습니다.
텍스트 컨피그레이션 파일
이 섹션에서는 ASA로 다운로드할 수 있는 텍스트 컨피그레이션 파일의 형식을 지정하는 방법을
설명하며, 다음 항목을 포함합니다.
•
7-6페이지의 명령이 텍스트 파일의 줄과 일치하는 방식
•
7-6페이지의 명령별 컨피그레이션 모드 명령
•
7-7페이지의 자동 텍스트 항목
•
7-7페이지의 줄 순서
•
7-7페이지의 텍스트 컨피그레이션에 포함되지 않은 명령
•
7-7페이지의 비밀번호
•
7-7페이지의 다중 보안 상황 파일
명령이 텍스트 파일의 줄과 일치하는 방식
텍스트 컨피그레이션 파일은 이 설명서에 설명된 명령에 해당하는 줄을 포함합니다.
이 설명서의 예에서는 명령 앞에 CLI 프롬프트가 있습니다. 다음 예의 프롬프트는
“ciscoasa(config)#”입니다.
ciscoasa(config)# context a
텍스트 컨피그레이션 파일에서는 명령을 입력하라는 프롬프트가 나타나지 않으므로 프롬프트가
생략됩니다.
context a
명령별 컨피그레이션 모드 명령
명령별 컨피그레이션 모드 명령은 커맨드 라인에 입력한 경우 기본 명령 아래에 들여쓰기된 상태로
표시됩니다. 명령이 기본 명령 바로 다음에 표시되는 경우에는 텍스트 파일 줄을 들여쓰지 않아도
합니다. 예를 들어 다음 들여쓰기되지 않은 텍스트는 들여쓰기된 텍스트와 동일하게 해석됩니다.
interface gigabitethernet0/0
nameif inside
interface gigabitethernet0/1
nameif outside
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
7-6
7장
커맨드 라인 인터페이스(CLI) 사용
텍스트 컨피그레이션 파일
자동 텍스트 항목
컨피그레이션을 ASA에 다운로드하면 일부 줄이 자동으로 삽입됩니다. 예를 들어 ASA는 기본 설
정 줄 또는 컨피그레이션이 수정된 시간 줄을 삽입합니다. 텍스트 파일을 만들 때 이러한 자동 항
목을 입력할 필요가 없습니다.
줄 순서
대부분의 경우 명령은 파일에서 정해진 순서가 없습니다. 그러나 ACE와 같은 일부 줄은 표시된 순
서대로 처리되며, 순서가 액세스 목록의 기능에 영향을 줄 수 있습니다. 다른 명령에도 순서 요구
사항이 있을 수 있습니다. 예를 들어 많은 후속 명령에서 인터페이스 이름을 사용하는 경우 먼저 인
터페이스에 대한 nameif 명령을 입력해야 합니다. 또한 명령별 컨피그레이션 모드의 명령은 기본
명령 바로 다음에 와야 합니다.
텍스트 컨피그레이션에 포함되지 않은 명령
일부 명령은 컨피그레이션에 줄을 삽입하지 않습니다. 예를 들어 show running-config와 같은 런
타임 명령은 텍스트 파일에 해당 줄이 없습니다.
비밀번호
로그인, 활성화 및 사용자 비밀번호는 컨피그레이션에 저장되기 전에 자동으로 암호화됩니다. 예
를 들어 비밀번호 “cisco”의 암호화된 형식은 jMorNbK0514fadBh처럼 나타날 수 있습니다. 컨피그
레이션 비밀번호를 암호화된 형식으로 다른 ASA에 복사할 수 있지만 비밀번호의 암호를 직접 해
독할 수는 없습니다.
텍스트 파일에 암호화되지 않은 비밀번호를 입력한 경우 ASA는 컨피그레이션을 ASA에 복사할 때
비밀번호를 자동으로 암호화하지 않습니다. ASA는 copy running-config startup-config 또는 write
memory 명령을 사용하여 커맨드 라인에서 실행 중인 컨피그레이션을 저장할 때만 비밀번호를 암
호화합니다.
다중 보안 상황 파일
다중 보안 상황의 경우 전체 컨피그레이션은 다음과 같은 여러 부분으로 구성됩니다.
•
보안 상황 컨피그레이션
•
상황 목록을 포함하여 ASA에 대한 기본 설정을 식별하는 시스템 컨피그레이션
•
시스템 컨피그레이션에 대한 네트워크 인터페이스를 제공하는 관리 상황
시스템 컨피그레이션에는 시스템 자체에 대한 인터페이스 또는 네트워크 설정이 포함되지 않
습니다. 대신 네트워크 리소스에 액세스해야 하는 경우(예: 서버에서 상황 다운로드) 관리 상
황으로 지정된 상황을 사용합니다.
각 상황은 단일 상황 모드 컨피그레이션과 유사합니다. 시스템 컨피그레이션은 시스템 전용 명령(
예: 모든 상황 목록)만 포함하고 다른 일반 명령(예: 많은 인터페이스 매개변수)는 없다는 점에서
상황 컨피그레이션과 다릅니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
7-7
7장
커맨드 라인 인터페이스(CLI) 사용
지원되는 문자 집합
지원되는 문자 집합
ASA CLI는 현재 UTF-8 인코딩만 지원합니다. UTF-8은 유니코드 기호에 대한 특정 인코딩 체계이
며, ASCII 기호 하위 집합과 호환되도록 설계되었습니다. ASCII 문자는 1바이트 문자로 UTF-8에
표시됩니다. 나머지 모든 문자는 다중 바이트 기호로 UTF-8에 표시됩니다.
인쇄 가능한 ASCII 문자(0x20~0x7e)는 완전히 지원됩니다. 인쇄 가능한 ASCII 문자는 ISO 8859-1
과 동일합니다. UTF-8은 ISO 8859-1의 상위 집합이므로 처음 256자(0~255)는 ISO 8859-1과 동일합
니다. ASA CLI는 ISO 8859-1의 최대 255자(다중 바이트 문자)를 지원합니다.
인쇄 가능한 ASCII 문자(0x20~0x7e)는 완전히 지원됩니다. 인쇄 가능한 ASCII 문자는 ISO 8859-1
과 동일합니다. UTF-8은 ISO 8859-1의 상위 집합이므로 처음 256자(0~255)는 ISO 8859-1과 동일합
니다. ASA CLI는 ISO 8859-1의 최대 255자(다중 바이트 문자)를 지원합니다.
Cisco ASA 시리즈 명령 참조, ASASM에 대한 T~Z 명령 및 IOS 명령
7-8
Download